Vista previa del material en texto
UNIVERSIDAD NACIONAL AUTÓNOMA DE MÉXICO FACULTAD DE DERECHO SEMINARIO DE DERECHO PENAL “PROPUESTA DE REFORMA AL DELITO DE ACCESO ILÍCITO A SISTEMAS Y EQUIPOS DE INFORMÁTICA, PREVISTO POR EL ARTÍCULO 211 BIS 1 AL 211 BIS 7 DEL CÓDIGO PENAL FEDERAL” T E S I S QUE PARA OBTENER EL TÍTULO DE LICENCIADO EN DERECHO P R E S E N T A CARLOS ENRIQUE GUTIÉRREZ CONTRERAS. ASESOR: LIC. JORGE DELFÍN SÁNCHEZ. DIRECTOR DEL SEMINARIO: LIC. JOSE PABLO PATIÑO Y SOUZA. CIUDAD UNIVERSITARIA 2008. Neevia docConverter 5.1 UNAM – Dirección General de Bibliotecas Tesis Digitales Restricciones de uso DERECHOS RESERVADOS © PROHIBIDA SU REPRODUCCIÓN TOTAL O PARCIAL Todo el material contenido en esta tesis esta protegido por la Ley Federal del Derecho de Autor (LFDA) de los Estados Unidos Mexicanos (México). El uso de imágenes, fragmentos de videos, y demás material que sea objeto de protección de los derechos de autor, será exclusivamente para fines educativos e informativos y deberá citar la fuente donde la obtuvo mencionando el autor o autores. Cualquier uso distinto como el lucro, reproducción, edición o modificación, será perseguido y sancionado por el respectivo titular de los Derechos de Autor. DEDICATORIAS. A Dios, Por darme la oportunidad de vivir y dejarme nacer en México. A mí querida Universidad Nacional Autónoma de Méxi co, así como de igual forma, a mi Facultad de Derecho, por haberme forjado la mejor de las riquezas que puede haber, el conocimiento para una vida eterna. A todos los profesores de la Facultad de Derecho, por transmitirme la enseñanza de los conocimientos tan grandes que hay en ellos. A mis padres, Elvira y Enri que, por los valores que me inculcaron, así como el apoyo, amor y cariño que me han brindado para seguir adelante, gracias. Neevia docConverter 5.1 A mis hermanos Sergio Gutiérrez y Armando Yáñez, por su apoyo y consejos a lo largo de mi vida, y en el desarrollo de la presente tesis; y a mi compañero inseparable de desvelos Quique. A mi novia Jes sica, por su amor y apoyo incondicional a cada instante, el cual en esta etapa significa mucho para ambos, para lograr nuestro siguiente paso, el hacer una vida juntos, gracias por ser mi inspiración. A la familia Gutiérrez y Contreras , por creer en mí y darme su apoyo incondicional Neevia docConverter 5.1 “PROPUESTA DE REFORMA AL DELITO DE ACCESO ILÍCITO A SISTEMAS Y EQUIPOS DE INFORMÁTICA, PREVISTO POR EL ARTÍCULO 211 BIS 1 AL 211 BIS 7 DEL CÓDIGO PENAL FEDERAL”. INDICE. Pág. INTRODUCCIÓN. I OBJETIVO. III Capítulo I Delito de acceso ilícito a sistemas y equipos de informática y su marco conceptual. 1.1 Concepto de delitos Informáticos. 1 1.2 Conceptos generales relacionados con el delito de acceso ilícito a sistemas y equipos de informática: 1 1.2.1 Concepto de Hardware. 2 1.2.2 Concepto de Software. 2 Neevia docConverter 5.1 1.2.3 Concepto de Internet. 3 1.2.4 Concepto de Cracking/Cracker. 3 1.2.5 Concepto de Cyber Gangs. 4 1.2.6 Concepto de Defacements. 4 1.2.7 Concepto de Hacking de un Servicio de Nombres de Dominio. 4 1.2.8 Concepto de Fraudes Electrónicos. 4 1.2.9 Concepto de Hacking/Hacker. 6 1.2.10 Concepto de ID Thieft (Robo de Identidad). 6 1.2.11 Concepto de Hacking o Cracking Telefónico. 7 1.2.12 Concepto de Phishing. 7 1.2.13 Concepto de Warez. 8 1.2.14 Concepto de Políticas de Seguridad. 8 1.2.15 Concepto de Fire Wall. 11 1.2.16 Concepto de Información. 12 Neevia docConverter 5.1 1.3 Marco legal de los delitos informáticos en otros países. 1.3.1 Delitos informáticos reconocidos por la Organización de las Naciones Unidas, relacionados con el Acceso Ilícito a Sistemas y Equipos de Informática. 13 1.3.2 Legislación en Alemania para los delitos Informáticos. 17 1.3.3 Legislación en Inglaterra para los delitos Informáticos. 18 1.3.4 Legislación Informática en Estados Unidos de Norteamérica. 20 1.3.5 Legislación en España relativa a los delitos Informáticos. 22 1.3.6 Legislación en Chile para los delitos Informáticos. 25 CONCLUSIONES. 26 CAPÍTULO II Marco legal de los delitos informáticos en México. 2.1 Constitución Política de los Estados Unidos mexicanos. 31 2.2 Código Penal Federal. 32 2.3 Código Penal para el Distrito Federal. 35 Neevia docConverter 5.1 2.4 Código Penal para el Estado de Sinaloa. 35 2.5 Código Penal para el Estado de Aguascalientes 36 2.6 Ley Federal de Derechos de Autor. 38 2.7 Ley de Información Estadística y Geográfica. 38 CONCLUSIONES. 39 CAPÍTULO III Estudio jurídico del delito de acceso ilícito a sistemas y equipos de informática, previsto por el artículo 211 bis 1 al 211 bis 7 del código penal federal. 3.1 Clasificación del delito. 3.1.1 En orden a la conducta. 41 3.1.2 Por el resultado. 45 3.1.3 Por el daño que causan. 47 3.1.4 Por su duración. 50 3.1.5 Por el elemento interno.52 Neevia docConverter 5.1 3.1.6 En relación con el número de actos que integran el delito. 53 3.1.7 En relación al número de sujetos que intervienen en el delito. 55 3.1.8 Por la forma de persecución. 57 3.1.9 En función de su materia. 57 3.2 Imputabilidad e inimputabilidad. 3.2.1 Imputabilidad. 59 3.2.2 Inimputabilidad. 60 3.2.3 Acciones libres en su causa. 62 3.3 La conducta y su ausencia. 3.3.1 Definición de conducta y su clasificación. 63 3.3.2 Sujetos del delito. 64 3.3.3 Objeto material. 66 3.3.4 Circunstanciales de lugar y tiempo. 67 3.3.5 Ausencia de la conducta. 68 Neevia docConverter 5.1 3.4 Tipicidad y atipicidad. 3.4.1 Tipo penal. 70 3.4.2 Tipicidad. 70 3.4.3 Atipicidad. 71 3.5 Antijuridicidad y Causas de Justificación. 3.5.1 Antijuridicidad. 72 3.5.2 Causas de exclusión. 72 3.6 Culpabilidad e inculpabilidad. 3.6.1 Culpabilidad. 85 3.6.2 Inculpabilidad. 90 3.7 Punibilidad y excusas absolutorias. 3.7.1 Punibilidad. 91 3.7.2 Excusas absolutorias. 93 Neevia docConverter 5.1 3.8 Autoría y participación. 3.8.1 Autor material. 95 3.8.2 Coautor. 96 3.8.3 Autor intelectual. 97 3.8.4 Autor mediato. 99 3.8.5 Cómplice. 100 3.8.6 Encubridor. 102 3.9 Concurso de delitos. 3.9.1 Concurso ideal. 103 3.9.2 Concurso real. 105 CONCLUSIONES. 106 Neevia docConverter 5.1 CAPÍTULO IV Problemática observada en el delito de acceso ilícito a sistemas y equipos de informática previsto por el artículo 211 bis 1 al 211 bis 7 del Código Penal Federal y la ineficacia en la administración de penas y sanciones por falta de regulación aplicable a las diferentes conductas delictivas. 108 Conclusiones. 113 Conclusiones generales. 116 Propuesta. 119 Glosario. 123 Bibliografía. 136 Hemerografía. 139 Legislación. 139 Jurisprudencia 140 Direcciones de internet revisadas. 140 Otras fuentes 141 Neevia docConverter 5.1 I INTRODUCCIÓN En la actualidad vivimos con la constante zozobra del delito, pues los bienes jurídicamente tutelados en mayor grado se han vulnerado. Aunque la única esperanza que tiene la sociedad, para el combate de la criminalidad, es mediante los medios que el Estado aplique. En tal caso, el Estado mediante el Derecho puede hacer posible la convivencia entre los individuos, limitando la libertad de cada uno, para que no se vulneren entre sí, pero para la realización de dicha tarea, tiene que apoyarse en la fuente material que es la voluntad legislativa, emanada del órgano legislativo. Pero el órgano legislativo, resultado de la voluntad colectiva de los miembros del Estado, al tener la necesidad de sancionar alguna conducta; formula la creación de una norma, y en la gran mayoría de los casos las figuras delictivas que se describen en las leyes, no sancionan con la penalidad adecuada, y se encuadran como delitos de cuantía menor. Por las anteriores razones se desprende el presente proyecto de tesis que lleva por título “Propuesta de Reforma al Delito de Acceso Ilícito a Sistemas y Equipos de Informática, previsto por el artículo 21 1 bis 1 al 211 bis 7 del Código Penal Federal” , en el que no se tienen delimitadas cuales son las medidas de seguridad a infringir para poder cometer el delito, la punibilidad aplicable es muy baja, pues como ya la explicare conforme se desarrolle la tesis existen distintos tipos de medidas de seguridad a infringir, ya sea desde las medidas de seguridad física como lo es la seguridad aplicada con guardias, los cerrojos, los candados en los dispositivos de entrada y salida de información, etc., ó la seguridad lógica que se refiere a todos los mecanismos aplicables al software de un equipo de computo, para que no puedan ser hackeadas por una persona de la misma institución donde se encuentra el equipo, o desde una sala de acceso remoto. Dependiendo del grado de Neevia docConverter 5.1 II dificultad de la seguridad que haya sido violada, y de la información que haya sido copiada, modificada, eliminada, o conocida, va a ser la punibilidad aplicable al delito, es decir, pueden surgir varias agravantes dependiendo de la conducta delictiva, e incluso un concurso de delitos, porque al encontrarse debidamente conceptualizado el tipo, no solo admite una sola figura delictiva, sino que en su realización pueden surgir ilícitos como la IngenieríaSocial, el Phishing, el ID Thieft o los Fraudes Electrónicos. Para la realización de la presente tesis, debido a la falta de información aplicable a este tipo de delitos en nuestro país, ocupo la legislación vigente en países como: Alemania, España, Inglaterra, Estados Unidos de Norteamérica, Chile y La Organización de las Naciones Unidas, que pueden sentar los precedentes necesarios para la creación de una legislación más confiable y eficiente. Las fuentes legales nacionales en las que me baso para la elaboración de la tesis son las siguientes: • Constitución Política de los Estados Unidos Mexicanos. • Código Penal Federal. • Código Penal para el Distrito Federal. • Código Penal para el Estado de Sinaloa. • Ley Federal de Derechos de Autor. • Ley de Información Estadística y Geográfica. Todas estas leyes tratan de regular en menor medida los llamados delitos informáticos sin llegar a algún objetivo en particular por tal motivo la pretensión principal de la tesis es la reforma del capítulo de acceso ilícito a equipos de computo del Código Penal Federal para tener una legislación vigente y Neevia docConverter 5.1 III aplicable conforme se vayan dando los cambios dentro de la industria de la informática para no ser rebasados una vez más por la realidad. OBJETIVO. El objetivo del presente trabajo de tesis es la propuesta de reforma y debida conceptualización del capítulo mencionado con antelación, ya que en su redacción deja en un total estado de indefensión a personas físicas o morales, así como a Instituciones del Estado y del Sistema Financiero, que no cuentan con un mecanismo de seguridad para la privacidad y protección de la información almacenada en sus sistemas o equipos de informática, así como la tipificación de otras conductas delictivas que surgen de la comisión del acceso ilícito a sistemas y equipos de informática, que al no estar debidamente codificados quedan en una total impunidad. El marco conceptual que se maneja en el cuerpo de la presente tesis se obtuvo de las leyes relacionadas a los delitos informáticos en la ONU, en algunos países de la Unión Europea, así como de los Estados Unidos de Norteamérica y Chile, los cuales al unificar criterios han solucionado las diferentes conductas delictivas que se van actualizando a la velocidad de la nueva tecnología, dejando al derecho obsoleto e inútil ante una sociedad que día a día ocupa la informática como herramienta de su crecimiento y que tiene como moneda de cambio a la información. Neevia docConverter 5.1 1 CAPÍTULO I DELITO DE ACCESO ILICITO A SISTEMAS Y EQUIPOS DE INFORMATICA Y SU MARCO CONCEPTUAL. 1.1- Concepto de delitos Informáticos: “Los delitos informáticos son aquellas actividades ilícitas que se cometen mediante el uso de computadoras, sistemas informáticos u otros dispositivos de comunicación, que tienen por objeto conocer, copiar, modificar, eliminar, provocar perdida de información o impedir el uso de sistemas informáticos.”1 “Los delitos informáticos también pueden ser definidos como la conducta típica, antijurídica, culpable y punible en la que se tiene a las computadoras y/o sistemas informáticos como instrumento o fin”.2 1.2- Conceptos generales relacionados con el delito de acceso ilícito a sistemas y equipos de informática: Este capitulo contiene los conceptos básicos para poder adentrarnos en el estudio de la presente tesis referente al acceso ilícito a equipos de informática y su relación con los delitos electrónicos, delitos relacionados con las computadoras o delincuencia relacionada con los ordenadores, analizando desde lo que es una computadora personal o PC, las partes que la integran (Hardware, Software), lo que es el Internet, los delitos cometidos en el mismo, el común denominativo a las personas que cometen estos delitos y el nombre que reciben los mismos en la red. 1 Diccionario de ataque informáticos, 2002-2005, www.derechoinformatico.com.mx 2 Idem. Neevia docConverter 5.1 2 1.2.1- Concepto de Hardware. Por hardware nos referimos al conjunto de partes eléctricas, electrónicas y mecánicas de la computadora como son: • CPU, que es la Unidad Central de Proceso. • Monitor (pantalla). • Periféricos conectados al CPU como el teclado, mouse, impresora, escáner, bocinas, CD ROM, DVD ROM, memorias de almacenamiento masivo, unidad de disco flexible, redes, etc.3 • Dentro de los periféricos conectados a una computadora se encuentran los dispositivos de entrada y salida, reciben este nombre porque a través de ellos podemos meter y sacar información de una PC, como ejemplo de ellos tenemos al CD-R, DVD-R, unidades de disquete, discos duros removibles, unidades zip, superdisk, unidades usb, mini disk, etc., y estos a su vez reciben el nombre de unidades de almacenamiento masivo. 1.2.2- Concepto Software. El software incluye todos los programas e instrucciones que regulan el funcionamiento de la CPU o computadora personal. “Es el término genérico utilizado para designar a los programas de computadoras (ordenadores) en oposición al equipo físico de los sistemas de computación. Dichos programas están formados por conjuntos de instrucciones que gobiernan la operación de un sistema de computadora y hacen que el equipo físico funcione”.4 3 G. Tejera Héctor, “Diccionario Enciclopédico de Informática, Tomo II”, Pág. 1189. 4 Idem. Neevia docConverter 5.1 3 “En la Ley Federal del Derecho de Autor se definen al software como la expresión original en cualquier forma, lenguaje o código, de un conjunto de instrucciones que, con una secuencia, estructura y organización determinada, tiene como propósito que una computadora o dispositivo realice una tarea o función específica”. 5 1.2.3- Concepto Internet. El internet es un legado de protección de los Estados Unidos para mantener sus computadoras militares conectadas en caso del ataque de una nación enemiga. No es un cuerpo físico o tangible sino una red gigante que interconecta una innumerable cantidad de redes locales de computadoras. “En la actualidad el Internet es considerado como una enorme red que conecta redes y computadoras distribuidas por todo el mundo, permitiéndonos comunicarnos y transferir información sin grandes requerimientos tecnológicos ni económicos relativos para el individuo; es un sistema internacional de intercambio o diseminación de información, que une a personas, instituciones, compañías y gobiernos alrededor del mundo de manera casi instantánea, a través de la cual es posible comunicarse, con un solo individuo, con un grupo amplio de personas interesadas en un tema en específico ó con el mundo entero.”6 1.2.4- Concepto Cracking/Cracker. “Es aquella persona que sin derecho penetra en un sistema informático con el fin de robar o eliminar información valiosa, realizar transacciones ilícitas, o 5 Cámara de Diputados del H. Congreso de la Unión, Ley Federal del Derecho de Autor, Capítulo IV, De los Programas de Computación y Bases de Datos, Art. 101, Pág. 17 6 Diccionario de ataque informáticos, 2002-2005, www.derechoinformatico.com.mx Neevia docConverter 5.1 4 impedir el buen funcionamiento de redes informáticas o computadoras. Alguien que viola la seguridad de un sistema”. 7 1.2.5- Concepto Cyber Gangs. “Los cyber gangs o cyber pandillas son grupos de crackers que se reúnen con la finalidad de planear o cometer delitos informáticos como la violación de algún sistema informático, eliminación de información,o apoderamiento de la misma para fines de lucro personal o para un tercero.”8 1.2.6- Concepto Defacements. “Esta actividad es el tipo de cracking más común, que consta en la penetración de sitios web sin derecho para modificar su contenido, desplegando imágenes obscenas, mensajes de amenaza ó burlas.” 9 1.2.7- Concepto Hacking de un Servicio de Nombres de Dominio. “Tipo de hacking, que consta en alterar lo que los usuarios ven cuando entran en un sitio web, interfiriendo con el servicio de nombres de dominio (DNS) para que el nombre de dominio del sitio resuelva a la dirección IP de algún otro sitio, el cual podría ser pornográfico ó mandarlos a algún otro sitio incorrecto. Si los usuarios teclean el nombre de dominio los llevara a otro nombre de dominio, salvo que tecleen la dirección IP exacta.” 10 1.2.8- Concepto Fraudes Electrónicos. “Según el artículo 231, fracción XIV del Código Penal para el Distrito Federal se entiende como fraude electrónico al que por cualquier medio accese a 7 G. Tejera Héctor, “Diccionario Enciclopédico de Informática, Tomo I”, Pág. 115 8 Definiciones informáticas, 2002-2005, www.derechoinformatico.com.mx 9 Definiciones Informáticas, 2002-2005, www.derechoinformatico.com.mx 10 Idem. Neevia docConverter 5.1 5 los sistemas o programas de informática del sistema financiero e indebidamente realice operaciones, transferencias, movimientos de dinero o valores, independientemente que los recursos no salgan de la institución, obteniendo un beneficio para sí o para un tercero.”11 La Federal Trade Commission de los Estados Unidos de Norte América después de un detallado estudio determino cuales son los tipos de fraude más comunes en internet, enlistando los siguientes: • Subastas en línea. • Servicios de acceso a internet. • Fraude con tarjeta de crédito. • Mercado internacional por modem. • Cargos no autorizados a tarjetas de crédito o recibos telefónicos. • Planes de mercadotecnia de multinivel (pirámides). • Viajes y vacaciones. • Oportunidades de negocios. • Inversiones. • Productos y servicios relacionados con la salud. 11 Ediciones Fiscales ISEF, S.A., Código Penal para el Distrito Federal, art. 231, fracción XIV, Pág. 61 Neevia docConverter 5.1 6 1.2.9- Concepto Hacking/Hacker. Individuo que penetra un sistema informático sólo por gusto o para probar sus habilidades. Usualmente no tiene fines delictivos graves este tipo de intrusión. Ellos mismos se definen como: • Personas que disfrutan de explorar los sistemas programables y como maximizar sus capacidades. • Una persona que es buena programando rápidamente. • Un experto en un programa en particular. “Es un término de la jerga de la computación que se aplica a quien, sin autorización trata de obtener acceso a los archivos (ficheros) de varios sistemas.”12 1.2.10- Concepto ID Theft (Robo de Identidad). “Aprovechamiento de datos personales obtenidos mediante engaños para hacerse pasar por otra persona, con el objeto de obtener beneficios económicos o cometer algún otro tipo de delitos.”13 “El robo de identidad también puede ser definido como la obtención de información confidencial del usuario, como contraseñas de acceso a diferentes servicios, con el fin de que personas no autorizadas puedan utilizarla para suplantar al usuario afectado.”14 12 G. Tejera Héctor , “Diccionario Enciclopédico de Informática, Tomo I”, Pág. 115 13 Diccionario de Delitos Informáticos, 2005-2006, www.delitosinformaticos.com/propiedadindustrial/audit 14 www.tecnologia.glosario.net/terminos-tecnicos-internet/informaci% Neevia docConverter 5.1 7 1.2.11- Concepto Hacking o Cracking Telefónico. “Penetrar ilícitamente en sistemas telefónicos o de telecomunicaciones con el fin de obtener beneficios o causar perjuicios a terceros. También puede ser definido como el arte de crackear una línea telefónica o red de comunicación.”15 El Código Penal Federal en su Título Quinto relativo a los delitos en materia de vías de comunicación y correspondencia, Capitulo I, de los ataques a las vías de comunicación, “artículo 167, fracción VI nos puede definir al Cracking telefónico como la acción dolosa o con fines de lucro de interrumpir o interferir las comunicaciones alámbricas, inalámbricas, o de fibra óptica, sean telegráficas, telefónicas o satelitales por medio de las cuales se trasfieran señales de audio, de video o de datos.”16 1.2.12- Concepto Phishing. “Phishing es una forma de ingeniería social. Los ataques de Phishing utilizan los correos electrónicos o sitios web maliciosos que solicitan información personal; regularmente información financiera, los cuales requieren los datos de alguna cuenta, argumentando en la mayoría de los casos que existe un problema con la misma, cuando el usuario responde con la información requerida, los intrusos pueden hacer uso de esta información para tener acceso a estas cuentas.”17 15 PC Magazine en Español , Agosto de 2002, Número 08, Pág.117 16 Ediciones Fiscales ISEF, S.A., Código Penal Federal, art 167, fracción VI, Pág. 41 17 www.geocities.com/athens/olympus/7428/virus1.html Neevia docConverter 5.1 8 “El objetivo que persiguen los delincuentes al realizar esta conducta delictiva es engañar al sujeto pasivo para conseguir sus datos confidenciales y ordenar operaciones no autorizadas por el usuario legítimo. Los medios utilizados por los mismos son el uso de enlaces fraudulentos y páginas falsas que suplantan a las oficiales.”18 1.2.13- Concepto Warez (piratería). Grupo de personas amantes a la piratería de software. Su meta es violar los códigos de seguridad (Cracking), generar, obtener o compartir números de registro de programas de cómputo ó cuentas bancarias para luego subirlos a internet. “El Warez lo podemos ver reflejado en el Código Penal Federal en su título vigésimo sexto, relativo a los delitos en materia de los derechos de autor, artículo 424 Bis, fracción II que hace alusión a las personas que con fines de lucro fabrican dispositivos o sistemas cuya finalidad sea desactivar los dispositivos electrónicos de protección de un programa de computación, para su posterior difusión de manera ilegal.”19 1.2.14- Concepto Políticas de seguridad informática. Las políticas de seguridad informática son una forma de comunicación con los usuarios de los equipos de cómputo de una empresa u organización, ya que las mismas establecen la forma de actuar del personal en relación con los recursos y servicios informáticos. Las políticas de seguridad es una descripción de lo que deseamos proteger, pues cada política es una invitación a sus miembros para reconocer la información 18Coautor Corporativo, México, Procuraduría General de la República “Memorias del curso de capacitación Cibercriminalidad, 25 al 30 de Septiembre de 2005, México D.F. pág. 37 19 Diccionario de Delitos Informáticos, 2005-2006, www.delitosinformaticos.com/propiedadindustrial/audit Ediciones Fiscales ISEF, S.A., Código Penal Federal, art. 424 Bis, fracción II, Pág. 122. Neevia docConverter 5.1 9 como uno de sus principales activos, así como un motor de intercambio y desarrollo en el ámbito de sus negocios. Los elementos que conforman a las políticas de seguridad son los siguientes: • El alcance de las políticas, incluyendo facilidades, sistemas y personal sobre el cual aplica. • Objetivos de las políticas y la descripción clara de los elementos involucrados en su creación. • Responsabilidadespara cada uno de los servicios y recursos informáticos aplicados a todos los niveles de la organización y/o empresas. • Requerimientos mínimos para la configuración de la seguridad de los sistemas que abarca el alcance de la política. • Definición de violaciones y sanciones aplicables por no cumplir las políticas. • Responsabilidad de los usuarios con respecto a la información a la que tienen acceso. Las políticas de seguridad deben ser redactadas en un lenguaje sencillo, entendible, libre de tecnicismos y términos ambiguos que impidan una clara comprensión, sin sacrificar la precisión de las mismas; deben seguir un proceso de actualización periódico sujeto a los cambios organizacionales de las empresa y/ó instituciones, que se consideren relevantes como: el aumento en el número del personal, cambios en la infraestructura computacional, alta rotación de personal, desarrollo de nuevos servicios ó la diversificación del área de negocios, etc. Neevia docConverter 5.1 10 Al momento de crear las políticas de seguridad informática se deben considerar los siguientes aspectos: • Efectuar un análisis de riesgos informáticos para poder adecuar las políticas a la realidad de las empresas o instituciones. • Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la experiencia y la principal fuente para establecer el alcance y definir las violaciones a las políticas. • Comunicar a todo el personal involucrado sobre el desarrollo de las políticas, incluyendo los beneficios y riesgos relacionados con los recursos, bienes y sus elementos de seguridad. • Identificar quien tiene la autoridad para tomar decisiones en cada departamento, pues son ellos los interesados en salvaguardar la información importante en su área. • Contar con un documento con una estructura bien definida, que exponga de manera explicita el ámbito de su aplicación, que establezca las obligaciones y derechos tanto para los administradores, como para los usuarios y que defina claramente las sanciones a las que estará sujeto quien no se apegue a las políticas de seguridad impuestas. • Monitorear periódicamente los procedimientos y operaciones de las empresas y/o instituciones, de forma tal que ante los cambios, las políticas puedan actualizarse oportunamente. • Que las políticas cuenten con una vigencia y flexibilidad para su actualización. Neevia docConverter 5.1 11 Una vez concluida la redacción de las políticas de seguridad informática, se procede con su aprobación, esta etapa consiste normalmente de una revisión final exhaustiva por parte de las empresas y/o instituciones hasta su aprobación. El siguiente paso es la difusión y aplicación de las políticas de seguridad informática, a través de diversos medios como, la pagina principal del lugar donde se hayan creado, correo electrónico, trípticos, en la apertura de cuenta de nuevos usuarios, publicación en revistas internas electrónicas y tradicionales, folletos, etc., de tal forma que sea conocido por todos los usuarios. Las políticas deben ser aplicadas por los directivos, los administradores y los usuarios, ya que la seguridad no depende de una sola persona sino de cada uno de los individuos que conforman una organización. 1.2.15- Concepto Fire Wall (Corta Fuegos). “Es un equipo de cómputo o programa que conecta una red a internet, pero impide el acceso no autorizado a la misma.”20 “Un corta fuego o fire wall, es equipo de hardware o software utilizado en las redes para prevenir algunos tipos de comunicaciones por las políticas de la red, las cuales se fundamentan en la necesidades del usuario.”21 Es un filtro que mira la identidad de los paquetes y rechaza todos aquellos que no estén autorizados o correctamente identificados. Es un programa que sirve para filtrar lo que entra y sale de un sistema conectado a una red, y suele utilizarse en las grandes empresas para limitar el acceso de internet a sus empleados, así como para impedir el acceso de archivos con virus. 20 http//www.cache.fdo-may.ubiobio.cl/demos/doc/virus2.htm 21 Idem. Neevia docConverter 5.1 12 1.2.16- Concepto de Información. “ La información es el elemento fundamental que manejan los ordenadores, computadoras y dispositivos móviles en forma de datos binarios.22 La información es el conjunto de datos significativos y pertinentes que describen sucesos o entidades.”23 El auge, proliferación y universalización de sistemas de interconexión global como el internet nos lleva a hablar de una sociedad de la información, la cual usa este conjunto de datos como la moneda más preciada de intercambio de bienes y servicios. 1.3- Marco legal de los delitos informáticos en otros países. La era digital y su producto, la sociedad de la información, han provocado un cambio drástico social, cultural y laboral; impactando en la estructura socio- económica de los diversos países y provocando un rediseño en su forma de negociar y en su industria. La informática nos rodea y se encuentra involucrada en todos los ámbitos de interacción humana, desde los más importantes a los más triviales. Sin la informática, las sociedades actuales colapsarían, es un instrumento de expansión ilimitada e inimaginable del hombre, y es a su vez una nueva forma de energía y de poder intelectual. El Derecho como orden regulador de conductas no queda exento del impacto de las nuevas tecnologías, destacándose la imposibilidad de adaptarse de manera sencilla a las diversas conductas constitutivas de delito. 22 www.tecnologia.glosario.net/terminos-tecnicos-internet/informaci% 23 Mongrafias.com Neevia docConverter 5.1 13 En la actualidad los delitos informáticos constituyen una laguna jurídica muy grande dentro del Derecho Penal mexicano, existen diversas conductas que constituyen un delito y al no estar debidamente tipificadas quedan impunes, es así como a través del Derecho comparado se puede observar y hacer una lista de los delitos informáticos regulados en diferentes naciones y de cómo se puede frenar la comisión de los mismos. En este apartado de la tesis se vera que países cuentan con una legislación adecuada para el tratamiento de los delitos informáticos y su aplicación, comenzando por la Organización de las Naciones Unidas. 1.3.1- Delitos informáticos reconocidos por la Organización de las Naciones Unidas, relacionados con el Acceso Ilícito a Sistemas y Equipos de Informática. Dentro del seno de las Naciones Unidas se ha realizado un conglomerado de conductas susceptibles de encuadrarse como delitos informáticos, dichas conductas son las siguientes: 1.- Fraudes cometidos mediante la manipulación de computadoras: “La conceptualización utilizada por la ONU tanto en lo general como en lo particular para esta figura ilícita se enfoca de manera primordial en el comportamiento desplegado por el sujeto activo, mediante la manipulación de datos y programas.”24 24 Nava Garcés, Alberto Enrique, Análisis de los delitos informáticos, Editorial Porrúa, Av. República Argentina 15, México 2005, pág.29. Neevia docConverter 5.1 14 • Manipulación de datos de entrada: “Este tipo de fraude informático es conocido como la sustracción de datos y representa el delito informático más común, ya que es fácil de cometer y difícil de descubrir. Este delito no requiere de conocimientos técnicos de informática y puede realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos.”25 • Manipulación de programa: “Este delito consiste enmodificar los programas existentes en el sistema de las computadoras o insertar nuevos programas ó rutinas. Un método común utilizado por las personas que tienen los conocimientos especializados en programación informática es el denominado Caballo de Troya, que consiste en insertar instrucciones de computadora de forma encubierta en un programa informático para que pueda realizar una función no autorizada al mismo tiempo que su función normal.”26 • Manipulación de datos de salida: “Se efectúan fijando un objetivo al funcionamiento del sistema informático. El ejemplo más común es el fraude que se hace a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos. Tradicionalmente esos fraudes se hacían con tarjetas bancarias robadas sin embargo en la actualidad se usan ampliamente el equipo y programas de computadora especializados para codificar información electrónica falsificada en las bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito.”27 25 Nava Garcés, Alberto Enrique, Análisis de los delitos informáticos, Editorial Porrúa, Av. República de Argentina 15, México 2005, pág. 29. 26 Nava Garcés, Alberto Enrique, Análisis de los delitos informáticos, Editorial Porrúa, Av. República Argentina 15, México 2005, pág. 29. 27 Idem. Neevia docConverter 5.1 15 • Fraude efectuado por manipulación informática de los procesos de cómputo: Este tipo de fraude aprovecha las repeticiones automáticas de los procesos de cómputo; es una técnica especializada a la que se le denomina técnica del salchichón en la que rodajas muy finas, apenas perceptibles, de transacciones financieras se van sacando repetidamente de una cuenta y se transfieren a otra. • Como objeto: “Cuando se alteran datos de los documentos almacenados en forma computarizada.”28 • Computadoras como instrumentos: “En este delito, las computadoras son utilizadas para la falsificación de documentos de uso legal y/o comercial, como la credencial para votar, la curp, la cartilla militar y por supuesto las tarjetas de crédito.”29 2.- Daños y modificaciones de programas o datos computarizados: Ya se trate de programas o equipos de cómputo o sistemas enteros, son susceptibles de ser dañados por un agente externo. En el primer caso, existe la referencia inmediata al tipo de daño en propiedad ajena, pues es visible el deterioro cometido, sin embargo, en cuanto a la información contenida, está puede ser alterada de diversas formas, como se vara a continuación: • Sabotaje informático (Defacements): “Es el acto de borrar, suprimir o modificar sin autorización funciones ó datos de computadora con la intención de obstaculizar el normal funcionamiento del sistema.”30 28Nava Garcés, Alberto Enrique, Análisis de los delitos informáticos, Editorial Porrúa, AV. República Argentina 15, México 2005, pág. 30. 29Idem. 30Idem. Neevia docConverter 5.1 16 • Virus: “Son una serie de claves programáticas que pueden adherirse a los programas legítimos y propagarse a otros programas informáticos con la finalidad de afectar su funcionamiento.”31 • Gusanos (Worm): “Son análogos a los virus con el objetivo de infiltrarse en programas legítimos de procesamiento de datos para modificar, destruir o substraer datos, en este ultimo caso regresando a su lugar de origen que es donde se emitió el gusano por primera vez, se diferencia de los virus en que no puede regenerarse.”32 • Bomba lógica ó cronológica: “Este tipo de conducta exige de conocimientos especializados por parte del delincuente informático o cracker, ya que se hace la programación de la destrucción ó modificación de datos en un momento dado del futuro, con una acción o función especifica del software para la cual fue programada.”33 • Acceso no autorizado a servicios ó sistemas informáticos: este tipo de conducta se puede dar de diversas formas, desde la simple curiosidad o por medir sus conocimientos, como es el caso de los hackers, con fines de lucro como es el caso de los warez que se dedican a la piratería, el cyber terrorismo ó como lo maneja nuestro Código Penal Federal aquel que tenga acceso a la información debido a sus actividades, pero que no le da el derecho a apoderarse de la misma, a modificarla ó destruirla. • Piratas informáticos (Warez): en este caso el acceso a la información en el mayor número de las ocasiones se da desde una locación de acceso remoto a través de la red de telecomunicaciones para la reproducción no autorizada de programas informáticos de protección legal, la cual trae la pérdida de ganancias para los autores de los programas. 31 Nava Garcés, Alberto Enrique, Análisis de los delitos informáticos, Editorial Porrúa, Av. República Argentina 15, México 2005, pág.31. 32 Idem. 33 Idem. Neevia docConverter 5.1 17 1.3.2- Legislación en Alemania para los delitos informáticos. Para poder hacer frente a los delitos informáticos, este país contempla en su Código Penal las figuras de Piratería Informática y Estafa por Computador en los artículos 202 y 263a que a la letra dicen de la siguiente manera: Art. 202.- Piratería Informática. (1) Quien sin autorización se procure para sí o para otro datos que no estén destinados para él y que estén especialmente asegurados contra su acceso no autorizado, será castigado con pena privativa de la liberad hasta tres años o con multa. (2) Datos en el sentido del inciso 1, son solo aquellos que se almacenen o se transmiten en forma electrónica, magnética o de otra manera en forma no inmediatamente perceptible. Art. 263ª.- Estafa por Computador. (1) Quién con el propósito, de procurarse para si o para un tercero una ventaja patrimonial antijurídica, en la medida en que él perjudique el patrimonio de otro, por una estructuración incorrecta del programa, por la utilización de datos incorrectos o incompletos, por el empleo no autorizado de datos, o de otra manera por medio de la influencia no autorizada en el desarrollo del proceso, será castigado con pena privativa de la libertad hasta cinco años o con multa. Alemania también cuenta con la Ley de Protección de Datos, promulgada el 27 de enero de 1977, el cual menciona en su numeral primero que el cometido de la protección de datos es evitar el detrimento de los intereses dignos de protección de los afectados, mediante la protección de los datos personales contra el abuso Neevia docConverter 5.1 18 producido con ocasión del almacenamiento, comunicación, modificación y cancelación de tales datos. 1.3.3- Legislación en Inglaterra para los delitos informáticos. En este país a raíz de los ataques constantes de hackers a las instituciones del Estado, origino la creación de una nueva Ley sobre los Delitos Informáticos en Agosto de 1990 llamada Ley de los Abusos Informáticos (Computer Misuse Act) por la cual cualquier intento exitoso o no de alterar los datos almacenados, con intención criminal se castiga hasta con cinco años de cárcel, y las multas dependían de los datos que se hubieran alterado. El acceso ilegal a una computadora contemplaba hasta seis meses de prisión ó multa de hasta dos mil libras esterlinas. Esta ley en uno de sus apartados define lo que es un hacker, lo que significa hackear, que para ellos es el ingresar sin permiso en una computadora y cuando inhabilitan algún programa o equipo de cómputo la denominan que ha sido hackeada. También castiga la infección de los equipos de cómputo con algún tipo de virus, ó llegando a los extremos la destrucción de los mismos. A continuación se dará cita a algunos de los artículos más importantes de estaLey, en los cuales lo que se pretende proteger y hacer punible es el acceso no autorizado a los equipos de informática para la obtención de información, que es la idea principal del delito de Acceso Ilícito a Equipos de Informática tipificado en nuestro Código Penal: Neevia docConverter 5.1 19 1. Acceso no autorizado al material de una computadora. (1) Una persona es culpable de una ofensa si: (a) La persona hace realizar a una computadora cualquier función con intento para asegurar el acceso a cualquier programa o datos llevados a cabo en cualquier computadora; (b) El acceso que se propone asegurar sea no autorizado. (2) El intento de una persona de cometer una ofensa bajo esta sección no necesita ser dirigido en: (a) Cualquier programa o datos particulares. (b) Un programa de datos de cualquier clase particular; o (c) Un programa o los datos que contenga cualquier computadora particular. 3 Modificación no autorizada del material de una computadora. (1) Una persona es culpable de una ofensa si: (a) Hace cualquier acto que cause una modificación no autorizada del contenido de cualquier computadora; y (b) Cuando se realiza el acto se tiene la voluntad y el conocimiento indispensable (2) El intento de ofensa no necesita ser dirigido en: Neevia docConverter 5.1 20 (a) Cualquier computadora particular. (b) Cualquier programa o datos particulares o un programa o datos de cualquier clase particular; o (c) Cualquier modificación particular o una modificación de cualquier clase 1.3.4- Legislación informática en Estados Unidos Norteamérica. En este país el primer antecedente que se tiene de la alteración de datos en una computadora es de 1966 cuando se llevo a cabo el primer proceso por alteración a datos de un Banco de Mineapolis. En la primera mitad de la década de los 70´s, mientras los especialistas y criminólogos discutían si el delito informático era el resultado de una nueva tecnología, los ataques a las computadoras se hicieron más frecuentes, porque para acelerar las comunicaciones y transmisión de datos entre instituciones del Estado y compañías, los centros de investigación debían hacer las redes más accesibles, por esa razón el Pentágono, la OTAN, las universidades, la NASA, las instituciones militares y los laboratorios industriales se convirtieron en el blanco de los hackers. En 1976 el FBI comenzó a capacitar a sus agentes acerca de los delitos informáticos, el Comité de Asuntos del Gobierno de la Cámara presento dos informes que dieron lugar a la Ley Federal de Protección de Sistemas de Cómputo de 1985; esta ley fue la base para que Florida, Michigan, Colorado, Rhode Island y Arizona se constituyeran en los primeros estados con una legislación aplicable a los delitos informáticos, anticipándose un año al acta de la Computer Fraud and Abuse Act de 1986, este se refiere casi en su totalidad a lo relativo a los delitos de fraude contra casas financieras, registros médicos, computadoras de instituciones Neevia docConverter 5.1 21 financieras ó involucradas en delitos interestatales, también especifica las penas para el tráfico de claves con la intención de cometer fraude, y declara como ilegal el uso de passwords ajenos o propios en forma inadecuada. En 1994 se creo la Ley Federal de Abuso Computacional, que hace un acercamiento real al problema de los ataques electrónicos haciendo referencia a las diferentes formas de cometer los delitos informáticos como modificar, destruir, copiar, transmitir datos, alterar la operación normal de las computadoras, los sistemas de cómputo, redes informáticas y la creación y operación de virus. La institución a la que se hace del conocimiento de los delitos informáticos en este país es al FCIC (Federal Computers Investigation Commitee) donde se llevan a acabo las investigaciones necesarias para el mejor esclarecimiento de los delitos, en este comité podemos encontrar todo tipo de especialistas como investigadores estatales y locales, agentes federales, abogados, auditores financieros, programadores de seguridad y policías. En cuanto a legislación aplicable a los llamados delitos informáticos en Estados Unidos solo haré una breve cita de la Ley Federal de Abuso Computacional referente al fraude y el abuso de computadoras, previsto en su sección 1030 que a la letra dice de la siguiente manera: El acto del fraude y del abuso computacional (enmienda del 26 de octubre de 2001) Sección 1030.- Fraude y actividad relacionada en conexión con computadoras. (a) Quien quiera— (comete fraude) (1) Que tenga acceso a una computadora sin autorización, o excediendo el acceso autorizado, obtiene información que ha sido determinada para el gobierno de los Neevia docConverter 5.1 22 Estados Unidos conforme a una orden ejecutiva, un estatuto o cualquier dato restricto, con razón de creer que tal información así obtenida se podría utilizar en lesión de los Estados Unidos, o en ventaja de cualquier nación extranjera. (2) Accede intencionalmente a una computadora sin autorización o excediendo el acceso autorizado obtiene: (a) La información contenida en un expediente financiero de una institución financiera. (b) Información de cualquier departamento o agencia de los Estados Unidos; o (c) Información de cualquier computadora protegida si la conducta implico una comunicación de un estado a otro o al extranjero. (4) Al que con conocimiento y con la intención de defraudar, accede a una computadora protegida sin autorización, o excediendo el acceso autorizado, por medio de tal conducta comete fraude y obtiene cualquier cosa de valor, a menos que el objeto del fraude y de la cosa obtenida consista solamente en el uso de la computadora y el valor de ese uso no sea más de 5000 dólares en un periodo de un año. 1.3.5- Legislación en España relativa a los delitos informáticos. En este apartado de la tesis hago referencia a los diferentes artículos del Código Penal de España relativos a los delitos informáticos, publicados el 24 de noviembre de 1995, que a la letra dicen de la siguiente manera: Neevia docConverter 5.1 23 Artículo 197.- 1.- El que para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales o intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses. 2.- Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público privado. Iguales penas se impondrán al que sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero. 3.- Se impondrá la pena de prisión de dos a cinco años si se difunden, revelan o ceden a terceros los datos o hechos descubiertos o las imágenes captadas a que se refieren los números anteriores. Serán castigados con las penas de prisión de uno a tres años y multa de doce a veinticuatro meses, el que con conocimiento de su origen ilícito y sin haber tomado parte en su descubrimiento, realizare la conducta descrita en el párrafo anterior. 4.- Si los hechos descritos en el apartado 1 y 2 de este artículo se realizaran porlas personas encargadas o responsables de los ficheros, soportes informáticos, electrónicos o telemáticos, archivos o registros, se impondrá la pena de prisión de tres a cinco años, y si se difunden, ceden o revelan los datos reservados, se impondrá la pena en su mitad superior. Neevia docConverter 5.1 24 5.- Igualmente cuando los hechos descritos en los apartados anteriores afecten datos de carácter personal que revelen la ideología, religión, creencias, salud, origen racial o vida sexual, o la victima fuere un menor de edad o un incapaz, se impondrán las penas previstas en su mitad superior. 6.- Si los hechos se realizan con fines lucrativos, se impondrán las penas respectivamente previstas en el apartado 1 al 4 de este artículo en su mitad superior, si además afectan a datos de los mencionados en el apartado 5, la pena a imponer será la de prisión de cuatro a siete años. Artículo 248 .- 1.- Cometen estafa los que, con ánimo de lucro utilizaren engaño bastante par producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno. 2.- También se consideran reos de estafa los que, con ánimo de lucro, y valiéndose de alguna manipulación informática o artificio semejante consigan la transferencia no consentida de cualquier activo patrimonial en perjuicio de un tercero. Artículo 255.- Será castigado con la pena con la pena de multa de tres a doce meses el que cometiera defraudación por valor superior a cincuenta mil pesetas, utilizando energía eléctrica, gas, agua, telecomunicaciones u otro elemento, energía o fluidos ajenos, por alguno de los medios siguientes: 1.- Valiéndose de mecanismos instalados para la realización de la defraudación. Neevia docConverter 5.1 25 2.- Alterando maliciosamente la indicaciones o aparatos contadores. 3.- Empleando cualesquiera otros medios clandestinos. 1.3.6- Legislación aplicable en Chile para los delitos informáticos. Chile fue el primer país latinoamericano en crear una Ley contra los delitos informáticos, la cual entro en vigencia el 7 de junio de 1993, y consta solo de cuatro artículos que hacen referencia a los siguientes delitos: • La destrucción o inutilización de los datos contenidos dentro de una computadora. • La conducta maliciosa tendiente a la destrucción o inutilización de un sistema de tratamiento de información, de sus partes componentes o que dicha conducta impida, obstaculice o modifique su funcionamiento. • La conducta maliciosa que altere, dañe o destruya los datos contenidos en un sistema de tratamiento de información. Ley relativa a los delitos informáticos: Artículo 1 . El que maliciosamente destruya o inutilice un sistema de tratamiento de información o sus partes componentes, o impida, obstaculice o modifique su funcionamiento, sufrirá la pena de presidio menor en su grado medio a máximo. Si como consecuencia de esta conducta se afectaren los datos contenidos en el sistema, se aplicara la pena señalada en el inciso anterior, en su grado máximo. Artículo 2. El que con el ánimo de apoderarse, usar o conocer indebidamente de la información contenida en un sistema de tratamiento de la misma, lo intercepte, Neevia docConverter 5.1 26 interfiera o acceda a el, será castigado con presidio menor en su grado mínimo a medio. Artículo 3. El que maliciosamente altere, dañe o destruya los datos contenidos en un sistema de tratamiento de información, será castigado con presidio menor en su grado medio. Artículo 4. El que maliciosamente revele o difunda los datos contenidos en un sistema de información, sufrirá la pena de presidio menor en su grado medio. Si quien incurriere en estas conductas es el responsable del sistema de información, la pena se aumentar en un grado. CONCLUSIONES. La redacción que compone al capítulo segundo de acceso ilícito a sistemas y equipos de informática del Código Penal Federal, requiere de un marco conceptual en el cual basar las diferentes hipótesis de delito contenidas en el mismo, un ejemplo de esto es cuando se mencionan los mecanismos de protección impuestos a los sistemas o equipos de informática de los particulares, del Estado o de las Instituciones que conforman el Sistema Financiero, que contienen la información que es el bien jurídicamente tutelado de la relación delictuosa; para no caer en una atipicidad el Código en cuestión debe definir qué se entiende por mecanismo de seguridad, y cuantos tipos de seguridad existen aplicables a los sistemas o equipos de informática antes mencionados, porque existe tanto la seguridad física, como la seguridad lógica, la primera de ellas puede consistir en cerrojos, candados, guardia humana, cámaras de video y cualquier otro mecanismo externo a los sistemas y equipos de informática, la segunda que es la seguridad lógica consiste en paswords, firewalls, mecanismos de encriptación de información y cualquier otro tipo de software que resguarde la integridad y la privacidad del bien jurídicamente tutelado, porque al hacer esto se previenen problemas de interpretación por parte del juzgador al analizar un caso Neevia docConverter 5.1 27 en concreto, no importando que mecanismo de seguridad se haya transgredido para hacerse de la información, siempre se va a configurar el delito. Un ejemplo más que surge en cuanto a la conceptualización de este delito, es cuando se menciona en cualquiera de los artículos que lo componen, la modificación, destrucción o pérdida de información; el bien jurídicamente tutelado contenido en los sistemas o equipos de informática de los particulares, del Estado o de las Instituciones que conforman el Sistema Financiero, no puede ser destruido porque en términos de informática, la información no es destruida, es eliminada o suprimida. Otro punto más para agregar un marco conceptual al capítulo segundo de acceso ilícito a sistemas y equipos de informática es por la falta de conductas delictivas tipificadas que requieren de un concepto previo para su comprensión y análisis, algunas de estas conductas son: el deshabilitar la información para su uso, pues no se conoce, no se copia, no se modifica en su contenido, no se elimina, ni se provoca su pérdida, la información sigue en su misma ubicación, solo se deja inservible, porque cuando se quiere utilizar, el archivo no da acceso a su apertura; otra conducta delictiva que no se encuentra tipificada es la de pérdida de información por infección de virus a los sistemas y equipos de informática. En el contexto internacional, la Organización de las Naciones Unidas ha reconocido que los delitos por computadora constituyen un grave problema, ya que las leyes, los sistemas de impartición de justicia y la cooperación internacional, no se han adecuado a los cambios tecnológicos, es así que la ONU reconoce algunas de las siguientes conductas delictivas: manipulación de datos de entrada, manipulación de programas, manipulación de datos de salida y el fraude efectuado por manipulación informática en los procesos de computo. Los países miembros de la unión europea tienen una regulación muy completa en el campo de los delitos informáticos, que incluye seguridad de datos, creaciones Neevia docConverter 5.1 28 intelectuales, defraudación cibernética, clonación electrónica, robo de información y la realización de contratos a través de medios binarios. Alemania para poder hacer frente a los delitos informáticos, contempla en su Código Penal las figuras de piratería informática y estafa por computador, en sus artículos 202 al 263. En Inglaterra a raíz de los ataques constantes de hackers a las instituciones del Estado, se origino la creación de una Ley sobre los Delitos Informáticos en agosto de 1990, llamada Ley de Abusos Informáticos ó ComputerMisuse Act, por la cual, cualquier intento exitoso o no de alterar los datos almacenados con intención criminal se castiga hasta con 5 años de cárcel y las multas dependen de los datos que hayan sido alterados. Esta Ley en uno de sus apartados define lo que es un hacker, lo que significa hackear, que para ellos es ingresar sin permiso en una computadora, y cuando se inhabilita algún programa o equipo de cómputo, se denomina que ha sido hackeada; también se castiga la infección de los equipos de cómputo con algún tipo de virus, o llegando a los extremos, a la destrucción de los mismos. En Estados Unidos de Norteamérica en 1994 se creó la Ley Federal del Abuso Computacional, que hace un acercamiento real al problema de los ataques electrónicos, haciendo referencia a las diferentes formas de cometer los delitos informáticos, como modificar, eliminar, copiar, transmitir datos, alterar la operación normal de las computadoras, los sistemas de computo, redes informáticas y la creación y operación de virus. La Institución a la que se le hace del conocimiento de los delitos informáticos en este país es a la FCIC (Federal Computers Investigatión Commitee) donde se llevan a cabo las investigaciones necesarias para el mejor esclarecimiento de este tipo de delitos; en este Comité se puede encontrar a todo tipo de especialistas como investigadores estatales y locales, agentes federales, abogados, auditores financieros, programadores de seguridad y policías. Neevia docConverter 5.1 29 Chile fue uno de los primeros países en Latinoamérica en crear una ley contra los llamados delitos informáticos, la cual entro en vigencia el 7 de julio de 1993, y consta solo de cuatro artículos que hacen referencia a la destrucción o inutilización de datos dentro de un equipo de cómputo, a la conducta maliciosa tendiente a la inutilización de un sistema de tratamiento de información, de sus partes componentes, o que dicha conducta impida, obstaculice o modifique su funcionamiento. Los delitos informáticos son el resultado del creciente uso de la tecnología informática a nivel mundial, paralelamente al avance tecnológico es como han surgido estas nuevas formas de conducta antisocial, que han hecho de los equipos y sistemas informáticos instrumentos para delinquir, adicionalmente a esto, también se presentan conductas en las que dichos equipos o sistemas constituyen el objeto o fin de la conducta delictiva. Es así como el Estado mexicano se encuentra obligado a proteger los bienes jurídicos de los sectores que utilizan la informática como instrumento de desarrollo, por tal razón se requiere de un marco jurídico acorde con el avance tecnológico el cual debe contener los conceptos básicos utilizados a nivel mundial para una mejor sincronización y acople de criterios al momento de juzgar la conducta delictiva tipificada en el Código Penal Federal y leyes conexas, un ejemplo de esto se encuentra en cualquiera de los artículos que componen el capítulo de acceso ilícito a sistemas y equipos de informática cuando se menciona a los mecanismos de seguridad, porque al no estar debidamente definidos, no se delimita cual es el mecanismo de seguridad que se debe transgredir para la comisión del delito; al igual que en la Ley de los Abusos Informáticos de Inglaterra en el Código adjetivo de la materia, se debe crear un apartado o en su defecto plantear una reforma, en la cual se haga mención de los conceptos básicos, necesarios para una mejor comprensión e investigación de estos delitos. Neevia docConverter 5.1 30 CAPÍTULO II Marco legal de los delitos informáticos en México. El Derecho surge como una medida reguladora de la conducta del hombre en sociedad, pero la sociedad no es la misma en cada uno de los lugares del planeta, ni es la misma en cada momento de la historia. En los últimos años las tecnologías de la información y la comunicación han revolucionado la vida del hombre en numerosos aspectos, ya sea científicos, comerciales, laborales, profesionales, escolares, etc. La tecnología avanza a una velocidad vertiginosa, y el Derecho, en especial, el Derecho mexicano se a quedado rezagado en la regulación de una materia que lo ha rebasado, es por tal razón que en este capítulo de la tesis abordare las leyes y códigos que hacen un esfuerzo un tanto vano por tratar de regular las distintas conductas delictivas que han surgido y que por la carencia de una legislación debidamente tipificada se quedan impunes. Las leyes y códigos que abordare para el desarrollo del presente capítulo son las siguientes: • Constitución Política de los Estados Unidos Mexicanos. • Código Penal Federal. • Código Penal para el Distrito Federal. • Código Penal para el Estado de Sinaloa. • Código Penal para el Estado de Aguascalientes. • Ley Federal de Derechos de Autor. Neevia docConverter 5.1 31 • Ley de Información Estadística y Geográfica. 2.1- Constitución Política de los Estados Unidos mexicanos. “Los principios constitucionales que rigen a las garantías individuales se ubican en los artículos 133 y 135 de la Constitución Federal.”34 “La Constitución es la norma suprema, que organiza a los poderes del Estado y protege los derechos fundamentales de las personas a través de las distintas leyes y códigos que emanan de su texto, de acuerdo al principio de la supremacía constitucional, regulado en el artículo 133 de nuestra Carta Magna.”35 La Constitución tiene contemplado en su artículo 6º al final de su primer párrafo que el derecho a la información será garantizado por el Estado; en su fracción II nos indica que la información que se refiere a la privada y los datos personales serán protegidos en los términos y con las excepciones que fijen las leyes. Lo que da pauta a la creación de diversas leyes y códigos que regulen los llamados delitos informáticos, como es el caso del Código Penal Federal en su numeral 211 Bis-1 al 211 Bis-7, referente al acceso ilícito a sistemas y equipos de informática ó el Código Penal para el Distrito Federal en su artículo 231 que nos habla del fraude electrónico, y el Código Penal para el Estado de Sinaloa en su artículo 217 relativo a los delitos informáticos siendo así el primer Estado en tener un tipo penal aplicable a este tipo de conductas delictivas. Un ejemplo más de las leyes que pueden emanar de la Constitución para la regulación de los delitos informáticos, la protección y privacidad de la información facultadas por el artículo 133 de nuestra carta magna son: La Ley Federal de Derechos de Autor en su capítulo cuarto, artículo 101 que nos define lo que es un 34 Burgoa Orihuela, Ignacio, “Las garantías individuales” 34ª edición, Editorial Porrúa, S.A. México, 2002, pág. 187-188. 35 Suprema Corte de Justicia de la Nación, “Las Garantías Individuales Parte General, 2ª Edición”, pág. 61 Neevia docConverter 5.1 32 programa de computo ó software, y la Ley de Informática Estadística y Geográfica en su artículo 3º que nos da la definición legal de lo que es la informática. Tomo como referencia los artículos mencionados con antelación puesto que como se vera más adelante el bien jurídico tutelado en el delito de acceso ilícito a equipos de informática es la privacidad y la integridad de la información, independientemente del sector donde se encuentren los equipos afectados, pues bien pueden ser maquinas de un particular, maquinas del Estado o maquinas que conformen el Sistema Financiero. 2.2- Código Penal Federal. En el título noveno de este Código, capitulo II, relativo al acceso ilícito a sistemas y equipos de informática en su numeral 211 Bis 1 al 211 Bis 7 tiene similitud con el apartado de la ONU que hace referencia al acceso no autorizado a serviciosó sistemas informáticos, solo que el Código trata de englobar distintas conductas en unos cuantos párrafos, dejando en su haber un mar de lagunas jurídicas, mientras que en otros países como Alemania, Inglaterra ó Chile existen leyes dedicadas solamente a la protección de datos; en el caso del Código en cuestión trata de proteger el bien jurídico tutelado que es la privacidad y la integridad de la información, estableciendo sanciones y agravantes en caso de que el ilícito se cometa de distintas formas, estableciendo que para cometer el delito se tienen que violar ciertas medidas de seguridad, pero nunca hace referencia de cuales son las medidas a transgredir para la comisión del mismo. La inexistencia a nivel federal de tipos penales exactamente aplicables a esas conductas a dado lugar a que sus autores queden impunes, por lo que es imperativo prever nuevas formas de delincuencia. El siguiente cuadro esquematiza los diferentes tipos de conductas para la comisión del delito y la punibilidad aplicable del artículo citado con antelación. Neevia docConverter 5.1 33 CONDUCTA. PUNIBILIDAD . Destruir, modificar o provocar la pérdida de información protegida por algún mecanismo de seguridad en sistemas o equipos de informática de particulares. 6 mese a 2 años de prisión y de 100 a trescientos días de multa. Destruir, modificar o provocar la pérdida de información protegida por algún mecanismo de seguridad en sistemas o equipos de informática del Estado. 1 a 4 años de prisión y de 200 a 600 días de multa. Destruir, modificar o provocar la pérdida de información protegida por algún mecanismo de seguridad en sistemas o equipos de informática de Instituciones que conforman el Sistema Financiero. 6 meses a 4 años de prisión y 100 a 600 días de multa. CONDUCTA. PUNIBILIDAD. Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad. (en computadoras de particulares) 3 meses a 1 año de prisión y de 50 a 150 días de multa. Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad. 6 meses a 2 años de prisión y de 100 a 300 días de multa. Al que sin autorización conozca o copie información contenida en sistemas o 3 meses a 2años de prisión y de 50 a 300 días de multa. Neevia docConverter 5.1 34 equipos de informática de las instituciones que integran le Sistema Financiero, protegidos por algún mecanismo de seguridad. CONDUCTA. PUNIBILIDAD. Al que estando autorizado para acceder a sistemas y equipos de informática del Estado, indebidamente modifique, destruya o provoque pérdida de información que contengan. 2 a 8 años de prisión y de 300 a 900 días de multa. Al que estando autorizado para acceder a sistemas y equipos de informática de las Instituciones que integran el Sistema Financiero, indebidamente modifique, destruya o provoque pérdida de información que contengan. 6 meses 4 años de prisión y de 100 a 600 días de multa. CONDUCTA. PUNIBILIDAD. Al que estando autorizado para acceder a sistemas y equipos de informática del Estado indebidamente copie información que contengan 1 a 4 de prisión y de 150 a 450 días de multa. Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente copie información que contengan 3 meses a 2 años de prisión y de 50 a 300 días de multa. Neevia docConverter 5.1 35 2.3- Código Penal para el Distrito Federal. Son casi nulas las disposiciones legales aplicables a los delitos informáticos en el Distrito Federal, solo por mencionar alguna de ellas tenemos al Código Penal para el Distrito Federal en su artículo 231, fracción XIV, capítulo tercero relativo al fraude, que a la letra versa de la siguiente manera: Artículo 231 . Se impondrán las penas previstas en el artículo anterior, a quien: XIV. Para obtener un beneficio para sí o para un tercero, por cualquier medio accese, entre o se introduzca a los sistemas o programas de informática del sistema financiero e indebidamente realice operaciones, transferencias o movimientos de dinero o valores, independientemente de que los recursos no salgan de la institución. 2.4- Código Penal para el Estado de Sinaloa. Sinaloa es de los pocos estados de la República que trata de hacer frente a los llamados delitos informáticos, con una redacción más concreta que la del Código Penal Federal, pero su punibilidad aplicable es más baja, dicha legislación se encuentra codificada en el Título Décimo, de los Delitos contra el patrimonio, capitulo V, de los Delitos Informáticos, artículo 217 que a la letra dice así: Artículo 217. Comete delito informático, la persona que dolosamente y sin derecho: I. Use o entre a una base de datos, sistemas de computadoras o red de computadoras o cualquier parte de la misma, con el propósito de diseñar, ejecutar o alterar un esquema o artificio, con el fin de defraudar, obtener dinero, bienes o información; o Neevia docConverter 5.1 36 II. Intercepte, interfiera, reciba, use, altere, dañe o destruya un soporte lógico o programa de computadora o los datos contenidos en la misma en la base, sistema o red. Al responsable de delito informático se le impondrá una pena de seis meses a dos años de prisión y de noventa a trescientos días de multa. La diferencia básica que hay entre el Código Penal de Sinaloa y el Código Penal Federal radica en que en el primero de los mencionados no solo se tipifica el copiar, conocer, modificar, destruir y provocar pérdida de información contenida en equipos o sistemas de informática, sino que va más haya haciendo punible el uso o entrada a una base de datos, sistema o red de computadoras y la interceptación de información, o la destrucción de un soporte lógico y/o programa de computadora, o los datos contenidos en la misma base, sistema o red; pero en lo que adolece al igual que el Código Penal Federal es en cuanto a la conceptualización y la punibilidad que se le da a estas conductas delictivas pues al no estar debidamente conceptualizadas no se pueden calificar de manera correcta dejando en la impunidad un gran número de delitos. 2.5 Código Penal para el Estado de Aguascalientes. El Estado de Aguascalientes tiene su regulación para los delitos informáticos en su Código Penal, en el libro segundo, título vigésimo, de los delitos contra la seguridad en los medios informáticos y magnéticos, que a la letra versa de la siguiente manera: Capítulo I. Artículo 223 .- El acceso sin autorización consiste en interceptar, interferir, recibir, usar o ingresar por cualquier medio sin autorización debida o excediendo la que se Neevia docConverter 5.1 37 tenga a un sistema de red de computadoras, un soporte lógico de programas de software o base de datos. Al responsable del acceso sin autorización se le sancionara con penas de uno a cinco años de prisión y de cien a cuatrocientos días multa. Cuando el acceso sin autorización tenga por objeto causar daño u obtener beneficio, se sancionara al responsable con penas de dos a siete años de prisión y de ciento cincuenta a quinientos días de multa. También se aplicarán las sanciones a que se refiere el párrafo anterior cuando el responsable tenga el carácter de técnico, especialista o encargado del manejo o mantenimiento de los bienes informáticos accedidos sin autorización o excediendo la que se tenga. Capítulo II. Daño informático. Artículo 224 .- El daño informático consiste en la indebida destrucción o deterioro