Conócenos

DELITOS INFORMÁTICOS

Aspectos criminológicos de los delitos informáticos

Por Santos Puga

  • Imprimir

I Introducción

La sociedad de la información, la ausencia de fronteras, la inmaterialidad de la comunicación, conduce, en el ámbito del Derecho Penal, a la irrelevancia de los límites temporales y espaciales que han constituido, tradicionalmente, su límite (el del derecho penal). La delincuencia informática y los delitos relacionados con ella, suponen un tipo de criminalidad característica y especial. Tal especialidad es aportada por los medios a través de los cuales se materializan estas conductas delictivas, como son los medios informáticos y telemáticos.

La mayoría de las sociedades mundiales se enfrentan con una segunda revolución industrial, la 'revolución informática', que está sustituyendo el trabajo de la mente humana por máquinas. Los avances tecnológicos en  los ordenadores, con una capacidad de almacenamiento y procesamiento de datos casi ilimitada, en la miniaturización de sus elementos físicos internos de funcionamiento y procesamiento de información,  en la fusión del proceso de la información con las nuevas tecnologías de comunicación de la información, en la integración de los PC en todos los ámbitos sociales, incluso en el hogar, con conexión a redes de información mundiales, ha supuesto, también, la entrada de nuevos valores y bienes susceptibles de protección jurídica con quiebra de los esquemas tradicionales y necesidad de consiguientes cambios legales.

Desde el punto de vista criminológico el delito informático se caracteriza por: 

-       Permanencia delictual por la repetición y el automatismo del hecho

-       Extensa y elevada lesividad

-       Dificultades de averiguación y comprobación

-       Alto volumen de cifra negra

-       Mayor frecuencia, diversidad y peligrosidad

-       Distanciamiento espacio/temporal

-       Transfronterizo


II Evolución histórica 

Si la idea de robo es tan antigua como el concepto de propiedad privada, y en todas las sociedades siempre alguien se ha dedicado a coger lo más posible de lo que no es suyo por los medios que fueran necesarios, en materia de ordenadores, igual, cuando se supo que podían almacenar elementos valiosos (información privada), los criminales vieron su oportunidad. Si en principio a los datos almacenados en un ordenador es difícil acceder, cuando estos datos empiezan a navegar por la red, los datos se hacen vulnerables.

Esta actividad delictiva no surgió de la noche a la mañana, sino que en su primera fase, un tanto tosca, criminales no podrían disponer del 'hardware' necesario o tenían la experiencia técnica para aprovecharse de las oportunidades digitales. Los primeros ordenadores eran gigantes, sólo existían unos pocos, no se podrían robar en el sentido literal y llevárselos, ni tampoco tenían la preparación o facilidad que existe hoy en día para comunicarse con el ordenador y saber cómo funcionaba. 

Las  primeras máquinas de tabulación mediante tarjetas perforadas se inventaron a finales del siglo XIX, gracias a un ingeniero llamado Herman Hollerith. Esta tecnología se desarrollo para la organización y análisis de datos para la Oficina del Censo de Estados Unidos. La Tabulating Machine Company de Hollerith, que fue fundada en 1896, fue comprada por IBM en 1924.

En 1949 se presentó el Binary Automatic Computer (UNIVAC, Ordenador Automático Universal), que fue el primer ordenador comercializado gracias a una beca del gobierno de Estados Unidos. El primero de ellos, que se entregó en 1951 a la Oficina del Censo Electoral, tenía el tamaño de una habitación y su costo fue de un millón de dólares. Sus ventajas eran el ser enormes, muy caros, con sistemas independientes y, sobre todo, casi nadie sabía cómo se utilizaban.

Ya en los años 60 se crearon los Programmed Data Processor (PDP-1 Procesador de Datos Programado), siendo el primer ordenador usado para compartir (en el sentido de que sus propietarios lo alquilaban a empresas, colegios, laboratorios…). Como muchas personas y empresas usaban el mismo los datos y los programas se hicieron más vulnerables, abriéndose las primeras puertas al 'hacking'. A partir de aquí, y pese a todos los intentos habidos y por haber, esa puertas no se han vuelto a cerrar. Si en un principio el término 'hacker', se usaba para denominar a aquellas personas que dominaban los sistemas informáticos y eran capaces de manipular programas para que fueran más útiles e hicieran más cosas, en los años 70 se asoció este nombre al movimiento underground radical y por ende como rebeldía contra el sistema; en los años 80 se empezó por el FBI a detener por primera vez 'hacker' de alto nivel.

El primer ordenador personal asequible, se vendió en los años 70, el Altair 8800, que posibilitó que cada uno poseyera su ordenador y aprendiera a programarlos; a este siguió el Comodore 64, el TRS-80, y por fin el PC de IBM, que acercaron la informática más potente a todos los que estaban deseando encontrar nuevas formas de aprovechar las capacidades del sistema. Fueron las redes del PC las que abrieron las puertas a todo el hacking posterior.

Ya en los años 90, nació internet, y de ahí en adelante siguieron las redes inalámbricas y las opciones de conectividad  continuada de bajo coste y alta velocidad, los módems, proporcionando nuevas oportunidades para los cibercriminales, que están encantados con la banda ancha, las conexiones inalámbricas, la informática móvil y el acceso remoto, las tecnologías como Java, Active X, etc…, los programas de correo electrónico que admiten HTML y scripts, el comercio electrónico y la banca online, los mensajes instantáneos y nuevos sistemas operativos. Si todo el mundo usamos el mismo sistema operativo, el mismo explorador, el mismo cliente de correo electrónico, y si, además, todos los fabricantes usan las mismas especificaciones, el atacante deberá aprender mucho menos y dispondrá de muchas más posibilidades.


III Objeto de estudio 

El Departamento de Justicia Norteamericano define el delito informático como 'cualquier acto ilegal en relación con el cual el conocimiento de la tecnología informática es esencial para su comisión, investigación y persecución'. Sneyers dice que son 'todos aquellos que se relacionan directa o indirectamente con el medio informático (ordenadores, miniordenadores, microordenadores, equipos de tratamiento de texto, redes de telecomunicaciones, software, ficheros de datos y bases de datos)'.

El fenómeno de la criminalidad informática ha ido evolucionando con la propia sociedad y sus cambios, no pudiendo  ya simplificarse sus diversas modalidades comisivas, en simples o genéricas. Por eso en 1983 un grupo de expertos de la OCDE lo definió como 'cualquier conducta antijurídica, antiética o no autorizada relacionada con un procesamiento automático de datos y/o transmisión de datos.'

Superadas aquellas definiciones, hoy en día podemos hablar de comportamientos ilícitos informáticos derivados de la propia sociedad global del riesgo informático y de la información y que, cuando adquieren la suficiente entidad y gravedad como para constituir ataques serios a intereses jurídicamente protegidos y protegibles, tradicionales o nuevos, que deben ser contrarrestados con medidas que superen los meros ámbitos de la autorregulación , del derecho administrativo y del derecho civil, requiriendo la intervención del derecho penal, se constituyen en lo que podemos llamar delitos informáticos


IV Tipología delictual y formas de presentación 

A partir de los años 80, estudios criminológicos demostraron rápidamente que a la par del avance de la tecnología  de la información y su extensión a áreas nuevas de la vida, los delincuentes también extendían el uso de medios informáticos para casi todo tipo de ilícitos, llevando a la doctrina a afirmar que, desde el punto de vista fenomenológico, el delito informático homogéneo no existía. Ruiz Vadillo, por ejemplo, estableció los siguientes supuestos de delincuencia informática:

a).- entrada, alteración, borrado o supresión de datos y/o programas efectuados de manera intencionada con la intención de efectuar una transferencia ilegal de fondos, para realizar una falsedad, u obstaculizar el funcionamiento de un sistema 

b).- vulneración del derecho del titular de un programa informático protegido por ley con la intención de explotarlo comercialmente; violación de signos, dibujos, diseños protegidos 

c).- acceso o interceptación de un ordenador o de un sistema de telecomunicaciones hecho dolosamente; obtención por medios ilegítimos de los datos de un ordenador, y su divulgación, bien de datos personales o de secreto comercial o industrial. 

Como dijo Sieber, 'la importancia de la criminalidad informática para la sociedad moderna no está basada tanto en aspectos cuantitativos, sino más bien en aspectos cualitativos, y el análisis de estos aspectos cualitativos muestra las verdaderas amenazas y peligros de este tipo de crímenes, lo que lleva a la necesidad de una nueva perfilación de figuras delictivas, y sobre todo en referencia a su configuración global como delitos de riesgo informático y de la información. Uno de los riesgos, precisamente, proviene del desconocimiento para muchos usuarios privados de las amenazas a las que real o potencialmente están expuestos, no siendo conscientes los agentes sociales, legisladores y políticos, de los riesgos de vulnerabilidad de la sociedad de la información.

Los nuevos estudios elaborados a finales de los noventa, así como los trabajos criminológicos y penales sustantivos de derecho comparado de Kaspersen para el Consejo de Europa, y Sieber para la Unión Europea, se han orientado en la combinación de criterios legales y criminológicos basados en el interés y bienes jurídicos atacados, considerando que tal combinación es más adecuada para su planteamiento legal, y sobre todo desde que los códigos penales de la mayoría de los países están estructurados de la misma manera. 

En España no hay una normativa específica contra el hacking, pretendiendo encajar esta modalidad delictiva, aunque de una manera forzada, en el artículo 256, hacer uso de cualquier equipo terminal de telecomunicaciones sin consentimiento de su titular; Gutiérrez Francés entiende al respecto que el intrusismo informático no es sólo un conjunto de comportamientos de acceso o interferencia no autorizados, de forma subrepticia, a un sistema informático o red de comunicación electrónica de datos, sino también la utilización de los mismos sin autorización o más allá de lo autorizado, ampliando el concepto de hacking a otros supuestos como el hurto de tiempo compartido, el de servicios o el uso no autorizado de ordenador. También el artículo 270.3  recoge los casos en los cuales se fabrica, pone en circulación y tenencia por cualquier medio destinado a facilitar la supresión no autorizada o la neutralización de cualquier dispositivo técnico que se haya utilizado para proteger programas de ordenador. La inclusión de esta figura es consecuencia de la Directiva 91/250/CEE de 14 de mayo del Consejo de las Comunidades Europeas sobre protección de programas de ordenador.

También  tenemos el  artículo 197.1, descubrimiento y revelación de secretos, apoderándose de…, mensajes de correo electrónico. Interceptación para descubrir secretos personales o vulnerar la intimidad de otro, sin su consentimiento, intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación…. En cuanto al  artículo 197.2, el que sin estar autorizado se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar…, que se hallen registrados en ficheros o soporte informáticos… Aquí se agrupan el conjunto de actividades de obtención no autorizada de datos o información sensible, confidencial o secreta, de contenido o valor económico patrimonial y divulgación no autorizada de los obtenidos ilegítimamente con ánimo de lucro y en perjuicio de terceros.

El artículo 278.1 castiga al que para descubrir un secreto de empresa se apodere por cualquier medio de datos, documentos escritos o electrónicos, soportes informáticos….Aquí podríamos encajar el llamado espionaje informático económico

El sabotaje informático, estaría regulado en el artículo 264.1 al penar a quien por cualquier medio, sin autorización y de manera grave, borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos cuando el resultado producido fuere grave; y el nº 2 del citado artículo cuando hace referencia a la obstaculización o interrupción del funcionamiento  de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando….., datos informáticos. Esta figura delictiva se configuró como un delito especial tanto por la naturaleza intangible de los objetos sobre los que recae la acción como por la estructura y configuración autónoma.

Por último, y quizás el más importante y en el que centraremos este trabajo, esta el número 2 del artículo 248, artículo modificado por LO 5/2010 de 22 de junio, donde expresamente se dice 'también se consideran reos de estafa: a) los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro; b) los que fabricaren, introdujeran, poseyeran o facilitaran programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo; y c) los que utilizando tarjetas de crédito o débito , o cheques de viaje o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero'.

 

V Legislación y Derecho comparado

El cibercrimen es una plaga mundial contra la que luchan las fuerzas del orden del todo el mundo. Los países han sufrido pérdidas millonarias y se han visto obligados a actualizar su estructura legal para enfrentarse a esta nueva forma de delincuencia. Los delitos informáticos han provocado la creación de nuevos puestos en las fuerzas del orden, el desarrollo de nuevas unidades en los departamentos de policía y el nacimiento de nuevas espacialidades legales. Además, en los delitos que nos ocupan, la infracción de la ley no abarca exclusivamente una jurisdicción, sino que puede abarcar a varias. Esto ha provocado problemas legales y logísticos que son necesarios solucionar, forzando la cooperación entre las agencias del orden de todo el mundo, y la necesidad de colaboración entre los gobiernos mundiales.

La manera en la que los Estados han establecido disposiciones sobre este delito en sus Código Penales,  se sustenta en tres métodos principales de acomodación del ilícito: 

1º.- método de la propiedad: se considera al delito informático como un nuevo  tipo de delito contra la propiedad 

2º.- método de la falsificación: donde lo fundamental es la integridad del procesamiento electrónico de los datos; este delito se ve como una amenaza o una violación de esta integridad 

3º.- método de la información: se considera al delito informático como actos no autorizados de acceso u obtención de información de sistemas informáticos o componentes del mismo. 

Consecuencia de lo anterior, tenemos tres modalidades de técnica legislativa usada por el legislador de cada Estado para el tratamiento jurídico penal de cada ilícito informático: 

1º.- complementación: las tradicionales figuras delictivas existentes se amplían o complementan con una categoría nueva de objetos sobre los cuales puede recaer la acción del sujeto activo 

2º.- extensión o evolutivo: se elabora una figura especial, paralela e inspirada en otras existentes, pero con relación a bienes nuevos como los sistemas informáticos, datos, software…. 

3º.- especial: la conducta se criminaliza por medio de una disposición penal, o juego de disposiciones de la misma clase, castigando las especialidades de un particular indebido uso o abuso informático. 

Estados Unidos: los estados federados han venido introduciendo desde los años 80 nuevos delitos relativos a la delincuencia vinculada a sistemas informáticos y prácticamente en la totalidad de ellos se contempla, dentro de los delitos patrimoniales, el fraude informático (computer fraud), próximo a la estafa, consumándose con el mero acceso (no autorizado), sin que sea precisa la disposición de fondos o bienes (salvo alguna excepción dependiendo del valor de los sustraído).  A nivel legislativo federal, en 1984 el Departamento de Justicia presentó una proposición de ley que culminó con una reforma en 1986 denominada 'Computer fraud and Abuse act', que amplió y modificó la legislación federal de los delitos informáticos con la adicción de tres nuevas figuras, la primera de ellas el acceso informático con intención de defraudar, en la segunda se modificó el concepto de ordenador de interés federal. En 1994 se modificó otra vez la legislación, sancionando, entre otras, a quien a sabiendas y con intención de defraudar accede sin autorización a una computadora de interés Federal o excede del acceso autorizado…, y obtiene cualquier cosa de valor. 

Gran Bretaña: el más importante cambio legislativo se produjo con la entrada en vigor de la Ley sobre el Mal Uso Informático (Computer Misure Acta) de 29 de agosto de 1990. Esta norma recoge tres ilícitos mayores, el acceso no autorizado o intencionado, no imprudente, a un sistema informático o a su contenido con realización de manipulaciones u operaciones informáticas, siendo preciso que se active un dispositivo de seguridad informático o el ofrecimiento de un registro del menú informático; la segunda acción será el acceso no autorizado con la intención de cometer cualquier otro delito (ejemplo la estafa); la tercera sección recoge la misma figura delictiva pero referida además a la causación de daños en los datos o a un sistema informático, o impedir o cambiar su función. 

Alemania: tenemos por un lado la 'Computermanipulationen' (manipulaciones informáticas), y la figura denominada 'Computerbetrug' (o estafa informática o a través de ordenador). Respecto a ésta, el artículo 263.a, contempla la conceptuación de la figura como tipo básico, la sanción de las formas imperfectas, y una agravación del tipo en razón de la gravedad de los hechos. 

Francia: la reforma penal de 1992, trajo cambios con la mejora del texto legal de las disposiciones informáticas, tales como la falsificación informática, falsificación y uso de documentos electrónicos falsificados, acceso no autorizado a sistemas informáticos, daños a datos o programas informáticos; las manipulaciones informáticas  defraudatorias de tipo patrimonial vienen subsumidas en el clásico delito de estafa. 

Italia: la reforma de 1993, introdujo un nuevo artículo dedicado a la figura del fraude informático, con estructura distinta a la figura de estafa, reconociendo o dando énfasis a su género o carácter de defraudación en el ámbito patrimonial, que no de subespecie fraudulenta de estafa. 

Portugal: con la promulgación en agosto de 1991 de la ley especial sobre delincuencia informática, se establecieron las directrices básicas del nuevo tratamiento punitivo de este tipo de delitos, tipificando los llamados 'crímenes ligados a la informática', que contenían la falsedad informática, daños a datos o programas informáticos, sabotaje, acceso ilegítimo, la interceptación ilegítima y la reproducción ilegítima; incluyéndose disposiciones especificas respecto de la defraudación informática patrimonial. 


VI Posicionamiento de la sociedad y de las víctimas 

El Cibercrimen implica tanto a los ordenadores como a las redes. Sin embargo, con la sofisticación que ha alcanzado la tecnología y la fascinación social que produce la ciencia de la inteligencia artificial, no ha llegado aún el momento en el que los ordenadores puedan, por ellos mismo, implicarse en actividades delictivas. Las máquinas aún son sumisas y sin moral, haciendo lo que se les dice. La delincuencia que nos ocupa implica por lo menos la participación de un ser humano que origina, planea e inicia el acto delictivo.

Estos delitos, que aparentan no tener víctimas, acaban dañando a una o varias personas con sus acciones. Tales víctimas pueden ser los trabajadores que pierden tiempo por causa de un ataque de un 'gusano', los accionistas de una empresa que pierden dinero por cargos extras por el ancho de banda que usa otro, un hacker, un particular a quien le hacen un cargo en su cuenta sin haber realizado tal operación de compra, etc….

Algunas características de las víctimas del cibercrimen son, 

-       Personas nuevas en la red

-       Inocentes por naturaleza

-       Discapacitadas o desaventajadas

-       Desesperados, codiciosos, solitarios, necesitados emocionalmente

-       Pseudo víctimas, que dicen haber sufrido ataque pero en realidad no lo han sido

-    Los simplemente desafortunados como para estar en el lugar (virtual) equivocado en el momento equivocado 

Cuando en los años 40 emergió la victimología, los estudiosos tendían a verlas como personas débiles y lastimosas y que a menudo habían contribuido a su propia mala suerte. En la actualidad la actitud dominante es la de potenciar a la víctima mediante formación y el acceso a los recursos necesarios.

En España hasta hace muy poco tiempo las víctimas de los ilícitos informáticos eran, casi sin excepción, personas jurídicas, entidades y sociedades, administración pública, etc…, únicas que gracias a su potencial económico podían permitirse el gozar de un sistema o red informática. Sin embargo, a raíz de los cambios sociales y de la incidencia y alcance de la progresiva extensión de las técnicas informáticas y de telecomunicaciones en todos los ámbitos de la vida social, y al estar su adquisición disponible para cualquier ciudadano medio, ha favorecido la frecuencia y una mayor diversidad de los comportamientos ilícitos informáticos, ampliándose el carácter de víctima no solo a los ya vistos, sino incluso a cualquier persona física o jurídica que en cualquier momento, ocasión o circunstancia tenga o se encuentre vinculado directa o indirectamente con un sistema informático, la información en él contenida o los datos que le representan.

Los delitos informáticos pueden ser cometidos por casi todo el mundo y amenazar, precisamente como cualquier otro peligro de la sociedad de riesgos a cualquier ciudadano.

 

VII Factores biosociopsicológicos del cibercriminal 

Los perfiles criminales son un arte y una ciencia dedicada a desarrollar descripciones de las características de un criminal  (físicas, intelectuales y emocionales), basándose en informaciones recogidas en la escena del crimen; es un juicio psicológico realizado con antelación al hecho y consiste en varias características definidas que es probable que compartan todos los criminales que comenten un tipo de delito concreto. Se usa para estrechar el abanico de sospechosos o para evaluar la probabilidad de que un sospechoso en particular haya cometido un crimen. Los constructores de perfiles realizan deducciones sobre la personalidad del criminal basándose en unos indicadores, como son: observar el crimen y su escena, testigos y las víctimas, conocimientos de psicología humana y criminal, y la existencia de patrones y correlaciones entre los diferentes crímenes.

Es posible crear un perfil del tipo de persona que comete un crimen  concreto, pero es imposible crear un perfil en el que encajen todos los cibercriminales, el artista del fraude en internet es muy diferente del ciberacosador, que, a su vez, es muy distinto del típico hacker.

Como primer paso para construir el perfil que nos ocupa, es ver algunas generalidades, como puedan ser: cierto conocimiento técnico, sentimiento de estar por encima de la ley, fantasiosos, maniáticos del control y/o naturaleza arriesgada, y fuertes motivaciones que pueden ser de lo más variadas (dinero, impulsos sexuales, motivos políticos, condiciones psiquiátricas…). 

En cuanto a los motivos por los cuales se comenten estos delitos, tenemos: diversión, beneficio económico, venganza u otra necesidad emocional, motivos políticos, sexuales, enfermedades mentales…

Dentro de las categorías tenemos: criminales que usan la red como herramienta para sus delitos (criminales de traje y corbata que venden información a terceros, manipulación de cuentas…, artistas del fraude, hacker); los que usan la red circunstancialmente para sus crímenes (para encontrar víctimas, para mantener archivos, para relacionarse con sus cómplices), no criminales que en la vida real cometen crímenes en línea (accidentales o situacionales). 

También tenemos los cracker, quienes específicamente vulneran, corrompen o quebrantan los programas informáticos en sí mismos, los  cyberpunk que causan daños indiscriminados en todo el área vinculada a la informática; los phreaker, defraudadores de líneas telefónicas a través de redes informáticas o telemáticas, los scriptikiddies, jóvenes que usan los programas de forma irresponsable, ciberokupas que se aprovechan de las posibilidades de libre acceso y mínima restricción a la inscripción de dominios en internet, apoderándose de nombres, señas, marcas…

 

IX Jurisprudencia 

El Tribunal Supremo en sentencia de fecha 9 de julio de 2013, y en relación al delito de estafa informática, recoge los siguientes criterios: 'el tipo penal del artículo 248.2 del Código Penal (hoy 248.2.a) advino al Código Penal de 1995 como remedio para la atipicidad persistente tras la reforma de 1983, de comportamientos defraudatorios caracterizados por la utilización de medios informáticos. Lo que no impidió la subsistencia de divergencias sobre el alcance de la nueva tipicidad en relación a determinados comportamientos. La jurisprudencia ha ido resolviendo aquellas en relación a algunos de éstos y en particular determinando el sentido de la expresión valerse de artificios semejantes que incluye el tipo penal, con no escasa crítica doctrinal. Así la utilización de tarjetas desde una terminal de punto de venta (TPV) para el uso de tarjetas de pago ( STS 1476/2004 de 21 de diciembre y 692/2006 de 26 de junio) advirtiendo que es equivalente que el autor modifique materialmente el programa informático indebidamente o que lo utilice sin la debida autorización o en forma contraria al deber. También hemos dicho que cuando la conducta que desapodera a otro de forma no consentida de su patrimonio se realiza mediante manipulaciones del sistema informático, bien del equipo, bien del programa, se incurre en la tipicidad del art. 248.2 del Código penal (STS 368/2007 de 9 de mayo), lo que permitió castigar bajo este título la obtención de dinero en cajeros automáticos mediante uso de tarjetas falsas. Así se dice: La identificación a través del numero secreto genera una presunción de uso del sistema por parte de su titular, y por ello, debe incluirse como una modalidad de manipulación informática, a los efectos de aplicar el art. 248.2 el mero hecho de utilizar el numero secreto de otro para identificarse ante el sistema, aunque incluso dicho numero hubiese sido obtenido al margen de cualquier actividad delictiva. Referencia obligada resulta la Decisión Marco del Consejo de Ministros de la Unión Europea sobre 'la lucha contra el fraude y la falsificación de medios de pago distintos del efectivo', de fecha 28 de mayo de 2001, que emplaza a los Estados miembros a adoptar las medidas necesarias para garantizar que las siguientes conductas sean delitos penales cuando se produzcan de forma deliberada: realización o provocación de una transferencia de dinero o de valor monetario, cuando el medio utilizado consista en la introducción, alteración, borrado o supresión indebidas de datos informáticos especialmente datos de identidad o en la interferencia indebida en el funcionamiento de un programa o sistema informáticos. En la redacción del Código Penal hoy vigente, tras la Ley Orgánica 5/2010, se resuelven en gran medida aquellas cuestiones, especificando como nuevos tipos penales, dentro del género de las defraudaciones informáticas, los casos de los apartados b) y c) del artículo 248.2 del Código Penal que zanjan no pocas discusiones sobre las calificaciones jurídicas objeto de cuestión.

En lo que ahora importa en el presente caso, hemos de partir de que el apartado a) del artículo 248.2 constituye una especie de defraudación:

1º.-No constituye una estafa de las genéricas tipificadas en el mismo artículo 248 en su apartado 1, ya que se prescinde del engaño y correlativo error en una persona y el consiguiente acto de disposición patrimonial. El procedimiento para atacar el patrimonio ajeno no pasa por una actuación engañosa desplegada por el autor ante otra persona a la que provoca error llevando a ésta a realizar un acto de disposición patrimonial en perjuicio propio o de tercero.

2º.- Lo relevante es que la defraudación se cometa por un medio específico que sustituye el engaño de una persona determinada: la manipulación informática o artificio semejante.

3º.- El componente objetivo del tipo se constituye, además, por el resultado que consistirá en la consecución de una transferencia caracterizada por: a)no ser consentida por la persona con facultades para ello; b) porque su objeto ha de ser un activo patrimonial, susceptible de ser 'transferido' y c) ocasionar un perjuicio a persona distinta del autor del delito.

4º.- Además de que el autor debe actuar conociendo que concurren esos elementos del tipo y con voluntad de llevar a cabo la transferencia, la antijuridicidad se acota por la concurrencia de un elemento subjetivo del tipo que es el ánimo de lucro.

La especificidad típica de esta defraudación resulta de aplicación preferente aún cuando concurran conjuntamente otras características de tipos penales, tanto más si, por otra parte, la penalidad de esos otros tipos es inferior. Así ocurrirá si el sujeto activo está revestido de las condiciones personales del autor del delito societario y el patrimonio perjudicado corresponde a los sujetos a que se refiere el artículo 295 cuando la defraudación con abuso de funciones haya acudido a la manipulación informática o artificio semejante a través de la cual se ocasione la transferencia de activos patrimoniales.

Y también es de aplicación el artículo 248.2 del Código Penal si el activo objeto de transferencia se encontraba ya previamente en la esfera de disposición del sujeto activo del delito por alguno de los títulos a que hace referencia el artículo 252 del Código Penal, siendo en este caso irrelevante que el lucro ilícito revista la forma de apoderamiento o la de distracción.

El concurso de normas se resuelve en tales casos de conformidad con lo dispuesto en los apartados 1º del artículo 8 del Código Penal o, en su caso, en el apartado 4º del mismo.

3.- Con estas premisas podemos ya resolver el obstáculo jurídico a que parece referirse la sentencia de la instancia y cuya resolución tildan de error manifiesto los recurrentes. 

A diferencia de los problemas suscitados acerca de la diversidad de significado atribuido a los verbos típicos apoderarse o distraer, utilizados en el delito de apropiación indebida, aquí no cabe cuestionar la tipicidad de las defraudaciones en las que lo transferido sea objeto de un uso abusivo pero no definitivo.

Si para un sector de la doctrina, que no tanto para la Jurisprudencia, el mero uso abusivo, que no excluye la devolución, es de dudosa tipicidad como apropiación indebida subespecie 'distracción', por el contrario, cuando la obtención del activo se logra mediante el ataque patrimonial a través de una manipulación informática, el legislador no exige que ese activo vaya a ser objeto de definitiva apropiación por el destinatario de la transferencia. El resultado típico se satisface desde el mismo momento de la transferencia, sin que deba seguir una definitiva apropiación. Cuando el autor del delito utilice en cualquier medida lo que ha sido transferido, la consumación ya habrá ocurrido con anterioridad. La especial potencia depredadora del medio utilizado se corresponde con ese adelantamiento del momento consumativo.

La cuantía a que ascienda el valor de lo transferido es el elemento típico determinante de la medida de la pena, y, también de la delimitación entre la infracción constitutiva de delito respecto a la de la mera falta.

Pero ese valor de lo transferido no es necesariamente equivalente al perjuicio que debe ser objeto de indemnización para extinguir la responsabilidad civil contraída.

Ciertamente de manera más explícita el STGB alemán tipifica el delito más desde la perspectiva de la lesión del sujeto pasivo que desde la del beneficio del sujeto activo. El párrafo 263 a) penaliza al que: 'con la intención de obtener un beneficio patrimonial ilícito para sí o para un tercero, lesiona el patrimonio de otro interfiriendo en el resultado de un tratamiento de datos, mediante una estructuración incorrecta del programa, la utilización incorrecta o incompleta de datos, la utilización de datos sin autorización, o la intervención de cualquier otro modo no autorizado en el proceso, será castigado con la pena de privación de libertad de hasta cinco años o con multa.'

De ahí que resulte correcta la calificación efectuada por la sentencia de instancia al tomar en cuenta el importe de las transferencias para establecer que ha sido cometido el delito y calificarlo en la forma que lo hizo, aún cuando no haya podido establecer el perjuicio indemnizable, ya que la cuantía de éste será tributario de las operaciones que autorizó ejecutar al banco perjudicado.

Si bien proclama que el autor se proponía reponer a la entidad bancaria perjudicada en el importe distraído, es lo cierto que la realización de las transferencias se prolongaron durante dos años aproximadamente. Lo que aleja toda posibilidad de consideración como mero uso abusivo…

 

X Prevención, medidas correctoras y rehabilitación 

Comprender lo que es el cibercrimen y como se pueden cometer estos delitos informáticos sólo proporciona a los investigadores una idea incompleta. Al igual que los policías necesitan tener unos buenos conocimientos de técnicas de defensa, el investigador de estos delitos debe conocer las tácticas más comúnmente utilizadas para defender la red de las intrusiones de los criminales y sus ataques.

Los agentes dedicados a la prevención del delito suelen informar a una comunidad de que ellos ni pueden evitar que un ladrón espere robar, ni impedir que un ladrón en potencia consiga herramientas o los conocimientos y trucos necesarios para delinquir, pero lo que sí pueden hacer es reducir, al máximo posible, las oportunidades para que los ladrones escojan sus casas como objetivo. En cuanto a los propietarios de redes su objetivo será endurecer la red de forma que los hacker que ya disponen de los motivos y medios, elijan una víctima más fácil. Un sistema de seguridad mal instalado dará lugar a que la misma este a disposición de los intrusos.

Como medios de prevención tenemos, en primer lugar, la seguridad física, a través de administradores de instalaciones y departamentos de seguridad, que se preocuparan de usar sofisticadas soluciones de hardware y software para evitar a los intrusos. A ello es imprescindible unir un sistema de seguridad personal o presencial que controle el acceso a los servidores (se hacen pasar por servicio de limpieza para acceder a la sala de servidores y hacerse con discos, introducir 'gusanos'…), a las estaciones de trabajo, dispositivos y cables de red, ordenadores portátiles, disquetes, cds, evitar la impresión de datos confidenciales…

También a través de la Integridad  de los datos, en el contexto de la criptografía, para verificar que no se han modificado los datos después de abandonar el sistema emisor, es decir que son iguales los datos enviados a los recibidos. En definitiva confiar en la integridad de los datos en las transacciones de red, como el correo electrónico. Técnicas criptográficas tenemos los certificados digitales, las firmas digitales y la infraestructura de clave pública, firewalls basados en hardware, dispositivos de autentificación (con tarjetas inteligentes, biométrica como huellas dactilares, iris), software criptográfico, certificados digitales, firewalls basados en software… 

 

XI Tipos de investigación 

Una vez que el sistema ha sido atacado, o una red se ha visto comprometida, es esencial ser capaz de pasar por todas las pruebas de lo que ha ocurrido. Desde la perspectiva técnica de la tecnología de la información significa saber como trabajar con las pruebas para asegurarse que se admitirán en el juzgado en caso necesario. También será necesario saber los aspectos técnicos de cómo y dónde encontrar esas pruebas para reunir adecuadamente un informe del delito.

La investigación se asentará en las siguientes bases: 

-       Auditoria de seguridad y archivos de registro

-       Auditar las plataformas Windows

-       Auditar plataformas Unix y Linux

-       Registros del Firewall, informes, alarmas y alertas

-       Comprender los encabezamientos de correo electrónico

-       Rastrear un nombre de dominio o dirección IP

-       Sistemas de detección de intrusos

-       Simulación IP y otras técnicas anti detección

-      Honeypots (sistema informático que se expone deliberadamente al público para atraer y distraer al atacante), Honeynets (red configurada con el mismo objetivo) y otros Ciberstings (stings son cebos en inglés)

 

XII Evolución futura 

Como dice López Barja de Quiroga, la sociedad actual no es una sociedad del coche o la radio con un planteamiento individual e independiente del objeto o de la persona, sino la sociedad en la que sus actividades están afectadas por nuevas tecnologías, muy diversas y profundamente vinculada e interrelacionadas que hacen necesario un examen y valoración de cualquiera de las cuestiones que se suscitan de forma global e interactiva como parte de un sistema sociocultural complejo, y donde la delincuencia es uno de sus componentes, y asimismo un fenómeno social al que el derecho penal ha de adaptarse.

La informática y las telecomunicaciones se han extendido a casi todas las áreas de la vida y aún van a ir a más, de tal manera que la sociedad de la información dependerá incluso más de ellas, creciendo, a la par, una delincuencia informática cada vez más diversa y más peligrosa. Con unos ordenadores cada vez más potentes y con mayores prestaciones, los sistemas de telecomunicaciones, incluidos los privados, al alcance de todo el mundo, más baratos y más accesibles, las tecnologías informáticas en transición de las elites sociales, las multinacionales, el estado, a las masas, lo que ha supuesto la producción de cambios tanto respecto al autor como a la víctima de los ataques informáticos, ya que estos delitos hoy en día no sólo pueden ser cometidos por cualquiera, sino que también amenazan a cualquier ciudadano.

El procesamiento de datos y su permanente 'miniaturización' (de sus componentes) ha crecido junto con la telecomunicación; los delitos informáticos son cometidos cada vez más por medio de redes, incluso en países distintos, desarrollándose nuevos supuestos de comisión delictiva, como el tan de moda hoy en día, abuso telefónico, manipulaciones por internet, ofensas en la comunicación, haciendo el delito más móvil e internacional, en definitiva, lo que es propio de una Sociedad Global. ¿Pasará a ser o llamarse Sociedad Global del Riesgo y la Información?

 

XIII Conclusiones 

En el año 1996 se empezaron a detectar los primero casos de estafa a través de internet o phising. Desde entonces la evolución de los fraudes informáticos ha sido constante, así con el phsing-car se pretende la obtención de datos bancarios a través de la venta de simulada de coches, sobre todo de segunda mano, con el smishing  recibiremos vía teléfono móvil, un mensaje (sms) en el que se nos comunica la suscripción a un servicio cualquiera por una determinada suma de dinero y, para poder anular esta suscripción, tenemos que llamar a un número de teléfono que nos indican,  a través de cual, y por medio de una grabación, se nos piden nuestros datos personales, para utilizarlos fraudulentamente. Con el vishing, lo que recibimos es una llamada telefónica en la que nos comunican que nuestra cuenta corriente ha sido cancelada, y que para volver a activarla, necesitamos llamar a un número de teléfono que nos facilitan, donde una grabación nos pide los datos, para luego, si es posible, vaciarnos la cuenta.

La Agencia Española de Protección de Datos, en su resolución administrativa Expediente E/00762/2004, fecha 24 de mayo de 2006, recoge lo que ella entiende por phising, y así dice: 'en el supuesto que se examina, los hechos denunciados constituyen la realización de una práctica del denominado 'phising'.El objetivo de los ataques de 'phising' es la obtención de forma engañosa y fraudulenta de los códigos de usuarios y contraseñas de clientes de Banca Electrónica, al objeto de realizar transferencias no autorizadas: sus  autores suelen pertenecer a la delincuencia organizada, habitualmente por mafias de países del este. Su operatoria comienza con la adquisición en Internet de un 'paquete de herramientas', que incluyen programas informáticos e información necesaria para realizar los ataques. Esta información incluye 'listas de equipos comprometidos' que pueden ser utilizados bien para mandar correos electrónicos, bien para alojar páginas web falsificadas. Incluyen además bases de datos de direcciones de correo electrónico'.

Una vez en posesión del paquete, se remiten los correos electrónicos con carácter indiscriminado (buscando contactar con clientes de la entidad financiera) informando de la necesidad de conectarse a una página web que parece pertenecer a la citada entidad y aportar los códigos de acceso y contraseñas de clientes.

Dicha página web se suele alojar en un 'equipo conectado a Internet cuya seguridad se haya comprometida', sin conocimiento de su usuario, y que se encuentra normalmente en un país distinto al de los destinatarios del ataque. De esta forma se constituye un 'fichero de datos personales con códigos de usuarios y contraseñas de clientes' recabados de forma engañosa y fraudulenta, que se ubica normalmente en el mismo 'equipo remoto comprometido' en el que se aloja la página web falsificada. Con los datos obtenidos se realizan transferencias a cuentas de colaboradores situados en España los cuales a su vez retiran el dinero en efectivo y tras descontar una comisión realizan transferencias monetarias internacionales mediante entidades especializadas'. 

La Decisión Marco del Consejo de Ministros de la Unión Europea sobre 'La lucha contra el fraude y la falsificación de medios de pago distintos del efectivo', de fecha 28 de mayo de 2001, dispone en su art. 3º que 'Cada estado miembro adoptará las medidas necesarias para garantizar que las siguientes conductas sean delitos penales cuando se produzcan de forma deliberada: realización o provocación de una transferencia de dinero o de valor monetario (...) mediante:

- La introducción, alteración, borrado o supresión indebidas de datos informáticos especialmente datos de identidad.

- La interferencia indebida en el funcionamiento de un programa o sistema informáticos.'


Lefebvre - EL Derecho no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación

Widgets Magazine

Comentarios jurisprudenciales

CASE STUDY & MASTER CLASS

LOPD EN DESPACHOS DE ABOGADOS

  • Caso práctico: cesión de datos a procuradores

    “El despacho jurídico “De La Torre Abogados” va a proceder a la cesión de datos personales de D. Daniel De La Torre a la procuradora Dña. María Ruiz para que realice las labores de procura necesarias para un caso judicial en la provincia de Almería.

  • Buenas prácticas en el despacho

    El despacho deberá establecer una normativa de uso de dispositivos y sistemas informáticos por escrito, así como unos criterios de supervisión de su actividad, remitiendo ambos documentos a todos sus integrantes y haciendo que firmen una conformidad de la información recibida.

  • Funciones y obligaciones del personal del despacho (y II)

    El personal que tenga acceso a información propiedad del despacho jurídico estará obligado a conocer y a observar las medidas, normas, procedimientos, reglas y estándares que afecten a las funciones que desarrolla en el despacho. 

ebook gratuito

ENTREVISTAS

GESTIÓN DE DESPACHOS

  • ¿Por qué es importante implementar el marketing en una empresa de servicios jurídicos?

    Hoy en día, el mercado legal está inmerso en una etapa de dinamismo que se está llevando a cabo a través de numerosas integraciones y/o fusiones entre despachos de diferente perfil que lo que buscan es crear una marca más sólida con la que poder prestar un servicio más completo a sus clientes.

  • La web y el blog, primeras piedras del camino hacia el posicionamiento SEO

    ¿Recuerdas cuando captar clientes se reducía al ‘boca a oreja’ y al prestigio del despacho? ¿Todo iba mucho más rodado, ¿verdad? ¿Cuál es el motivo por el que ahora ya no es tan fácil? Muy sencillo: se ha constituido un nuevo canal de captación que aún tiene mucho potencial: internet, la web y Google, el mayor canal de información y búsqueda de contenidos de España.

REDES SOCIALES & ABOGADOS

  • Internet y Redes Sociales para despachos de abogados: una exigencia necesaria

    ¿Por qué es importante que los despachos de abogados entren en la dinámica de las redes sociales e Internet? ¿Cómo puede afectar a un bufete el estar o no en el mundo digital? ¿Qué es lo que quieren tus futuros clientes de su abogado? El mundo se ha digitalizado y los abogados no pueden quedarse atrás.

COLABORA CON NOSOTROS

Colabora

Envianos un artículo sobre nuevas tecnologías aplicadas al ámbito jurídico

Colaborar

Enviar Artículo

He leído y acepto las condiciones de la Política de Privacidad y el Aviso Legal

(*) Campos obligatorios

Pablo García Mexía

Abogado, Cofundador de Syntagma, Centro de estudios estratégicos.

1

Carlos Pérez Sanz

Socio del área de Information Technology y Compliance de ECIJA.

1

Raúl Rubio

Partner, Information Technology & Communications Baker & McKenzie

1

AIshow, el evento de Inteligencia Artificial, llega a Madrid

Reunirá a investigadores y profesionales de diversos campos con el propósito de explorar las interacciones y los impactos prácticos de la Inteligencia Artificial (IA)

Metricson refuerza el área de compliance, protección de datos y propiedad intelectual

Incorpora a  Alejandro Martínez Méndez como director del departamento de protección de datos, propiedad intelectual y compliance de la sede de Barcelona. 

feedburner

Reciba LAW & TIC de forma gratuita.

Atención al cliente: De lunes a viernes de 8:30 a 20:00 horas ininterrumpidamente. Tel 91 210 80 00 - 902 44 33 55 Fax. 915 78 16 17