http://www.oas.org/juridico/spanish/cyb_ecu_delitos_inform.pdf
Legislación penal colombiana sobre delitos
informáticos
La Ley 1273 del 5 de enero de 2009, reconocida en
Colombia como la Ley de Delitos Informáticos, tuvo sus propios
antecedentes jurídicos, además de las condiciones de contexto analizadas en el
numeral anterior. El primero de ellos se remite veinte años atrás, cuando
mediante el Decreto 1360 de 1989 se reglamenta la inscripción del soporte
lógico (software) en el Registro Nacional de Derecho de Autor, que sirvió como
fundamento normativo para resolver aquellas reclamaciones por violación de
tales derechos, propios de los desarrolladores de software. A partir de esa
fecha, se comenzó a tener asidero jurídico para proteger la producción
intelectual de estos nuevos creadores de aplicativos y soluciones informáticas.
En este mismo sentido y en el entendido de que el
soporte lógico o software es un elemento informático, las conductas delictivas
descritas en los Artículos 51 y 52 del Capítulo IV de la Ley 44 de 1993 sobre
Derechos de Autor, y el mismo Decreto 1360 de 1989, Reglamentario de la
inscripción del soporte lógico (software) en el Registro Nacional del Derecho
de Autor, se constituyeron en las primeras normas penalmente sancionatorias de
las violaciones a los citados Derechos de Autor. Al mismo tiempo, se tomaron
como base para la reforma del año 2000 al Código Penal Colombiano:
Capítulo Único del Título VII que determina los Delitos contra los
Derechos de Autor: Artículo 270: Violación a los derechos morales de autor.
Artículo 271: Defraudación a los derechos patrimoniales de autor. Artículo 272:
Violación a los mecanismos de protección de los derechos patrimoniales de autor
y otras defraudaciones.
El Código Penal colombiano (Ley 599 de 2000) en su
Capítulo séptimo del Libro segundo, del Título III: Delitos contra la libertad
individual y otras garantías, trata sobre la violación a la intimidad, reserva
e interceptación de comunicaciones:
Artículo 192: Violación ilícita de comunicaciones. Artículo 193:
Ofrecimiento, venta o compra de instrumento apto para interceptar la
comunicación privada entre personas. Artículo 194: Divulgación y empleo de
documentos reservados. Artículo 195: Acceso abusivo a un sistema informático.
Artículo 196: Violación ilícita de comunicaciones o correspondencia de carácter
oficial. Artículo 197: Utilización ilícita de equipos transmisores o
receptores. Estos artículos son concordantes con el artículo 357: Daño en obras
o elementos de los servicios de comunicaciones, energía y combustibles.
Una norma posterior relacionada fue la Ley 679 de
2001, que estableció el Estatuto para prevenir y contrarrestar la explotación,
la pornografía y el turismo sexual con niños menores de edad. De igual manera,
consagra prohibiciones para los proveedores o servidores, administradores o
usuarios de redes globales de información, respecto a alojar imágenes, textos,
documentos o archivos audiovisuales que exploten a los menores en actitudes
sexuales o pornográficas. Sin embargo, la norma no contiene sanciones penales,
sino administrativas (Artículo 10), pues siendo simple prohibición, deja un
vacío que quita eficacia a la Ley, cuando se trata de verdaderos delitos
informáticos.
Para subsanar lo anterior, el 21 de julio de 2009,
se sancionó la Ley 1336, "por medio de la cual se adiciona y robustece la
Ley 679 de 2001, de lucha contra la explotación, la pornografía y el turismo
sexual, con niños, niñas y adolescentes". En forma específica, en su
Capítulo VI, sanciona los "Tipos penales de turismo sexual y
almacenamiento e intercambio de pornografía infantil" con penas de prisión
de diez (10) a veinte (20) años y multas de ciento cincuenta (150) a mil
quinientos (1.500) salarios mínimos legales mensuales vigentes (SMLMV).
La Ley 1273 de 2009 complementa el Código Penal y
crea un nuevo bien jurídico tutelado a partir del concepto de la protección
de la información y de los datos, con el cual se preserva integralmente a
los sistemas que utilicen las tecnologías de la información y las
comunicaciones. El primer capítulo de los dos en que está dividida la Ley, trata
de los atentados contra la confidencialidad, la integridad y la disponibilidad
de los datos y de los sistemas informáticos. El segundo Capítulo se refiere a
los atentados informáticos y otras infracciones.
A partir de la Ley 1273 de 2009, se tipificaron los
delitos informáticos en Colombia en los siguientes términos: acceso abusivo a
un sistema informático (modificado del Código Penal); obstaculización ilegítima
del sistema informático o red de telecomunicación; interceptación de datos
informáticos; daño informático; uso de software malicioso; hurto por medios
informáticos y semejantes; violación de datos personales; suplantación de
sitios web para capturar datos personales y transferencia no consentida
de activos.
Este marco jurídico se ha convertido en una
importante contribución y un instrumento efectivo para que las entidades
públicas y privadas puedan enfrentar los "delitos informáticos", con
definiciones de procedimientos y políticas de seguridad de la información; y,
en consecuencia, con las acciones penales que pueden adelantar contra las
personas que incurran en las conductas tipificadas en la norma. Con ella,
Colombia se ubica al mismo nivel de los países miembros de la Comunidad
Económica Europea (CEE), los cuales ampliaron al nivel internacional los
acuerdos jurídicos relacionados con la protección de la información y los
recursos informáticos de los países, mediante el Convenio 'Cibercriminalidad',
suscrito en Budapest, Hungría, en 2001 y vigente desde julio de 2004.
Con los desarrollos jurídicos hasta ahora logrados
acerca de "la protección de la información y de los datos y la
preservación integral de los sistemas que utilicen las tecnologías de
información y comunicaciones", las organizaciones pueden amparar gran
parte de sus sistemas integrados de información: datos, procesos, políticas,
personal, entradas, salidas, estrategias, cultura corporativa, recursos de las
TIC y el entorno externo (Davenport, 1999), de manera que, además de contribuir
a asegurar las características de calidad de la información, se incorpora la
administración y el control, en el concepto de protección integral.
Retomando la estructura de la Ley 1273 de 2009, el
capítulo I está orientado especialmente a apoyar la labor de los grupos de
Auditoría de Sistemas, al apuntar al propósito de aseguramiento de las
condiciones de calidad y seguridad de la información en la organización, cuando
se refiere a los "atentados contra la confidencialidad, la integridad y la
disponibilidad de los datos y de los sistemas informáticos". Corrobora la
importancia de la información como activo de valor para las organizaciones
(ISO/IEC 17799/2005), que es necesario proteger adecuadamente para garantizar
la continuidad del negocio, la maximización del retorno de la inversión y el
aprovechamiento de las oportunidades del entorno, así como para disminuir y
contrarrestar los riesgos y delitos que la amenazan.
La gestión confiable de la seguridad de la
información en las organizaciones parte del establecimiento de políticas,
estándares, procedimiento y controles eficientes, en natural concordancia con
las características del negocio y, en ese sentido, el capítulo I de la Ley 1273
de 2009 contribuye a tal propósito, de la misma manera que los estándares
nacionales e internacionales sobre administración eficiente de la información.
En las siguientes figuras se presenta un detalle
del contenido de la Ley y sus características aplicables a este análisis. La figura 2 identifica las actuaciones con las cuales se
tipifica el delito y la punibilidad aplicable (en su mayoría, penas de prisión
entre 48 y 96 meses y multas de 100 a 1.000 SMLMV).
El artículo 1 de la Ley 1273 de 2009 incorpora al
Código Penal el Artículo 269A y complementa el tema relacionado con el
"acceso abusivo a un sistema informático", que se manifiesta cuando
el pirata informático o hacker aprovecha la vulnerabilidad en el acceso
a los sistemas de información, o las deficiencias en los procedimientos de
seguridad informática establecidos por las organizaciones, para extraer
beneficios económicos o para indagar o demostrar la capacidad y recursos que
ofrece la tecnología de la información. Cuando se presenta este abuso, en
muchos casos, se observa que proviene de los mismos usuarios del sistema, tal
como se evidencia en los informes anuales de la PricewaterhouseCoopers, The
global state information security y en estudios realizados por Cisco
(2008), en los cuales se señala que el 42% de los tres casos de abuso más
frecuentes corresponde a los detectados entre los empleados.
El artículo 269B contempla como delito la
"obstaculización ilegítima del sistema informático o red de telecomunicación",
y se origina cuando el hacker informático bloquea en forma ilegal un
sistema o impide su ingreso por un tiempo, hasta cuando obtiene un beneficio
por lo general económico. Aquí también se enmarca el acceso a cuentas de correo
electrónico sin el debido consentimiento de sus propietarios y el manejo o
bloqueo de las claves obtenidas de distinta forma.
El artículo 269C plantea la infracción relacionada
con la "interceptación ilícita de datos informáticos", también
considerada en el Artículo 3 del Título 1 de la Convención de Budapest de 2001.
Se presenta cuando una persona, valiéndose de los recursos tecnológicos,
obstruye datos sin autorización legal, en su sitio de origen, en el destino o
en el interior de un sistema informático, o de emisiones electromagnéticas de
un sistema electromagnético que los transporte.
El delito relacionado con los "daños
informáticos" está contemplado en el Artículo 269D y se comete cuando una
persona que sin estar autorizada, modifica, altera, daña, borra, destruye o suprime
datos del programa o de documentos electrónicos, en los recursos de las TIC.
El artículo 269E contempla el delito vinculado con
el "uso de software malicioso" técnicamente denominado malware,
ya generalizado en internet. Se presenta cuando se producen, adquieren, venden,
distribuyen, envían, introducen o extraen del país software o programas de
computador que producen daños en los recursos de las TIC.
El delito sobre "violación de datos
personales" (hacking) lo trata el artículo 269F y está orientado a
proteger los derechos fundamentales de la persona (como dignidad humana y
libertad ideológica). Se da cuando un individuo sin estar facultado, sustrae,
vende, envía, compra, divulga o emplea datos personales almacenados en
ficheros, archivos, bases de datos o medios similares con el fin de lograr
utilidad personal o para otros.
El artículo 269G trata de la "suplantación de
sitios web para capturar datos personales". Sucede cuando el
suplantador (phisher) o delincuente informático crea una página y un dominio
similar al de la entidad a la cual desea abordar, lo ubica en un hosting
(espacio en un servidor) desde donde envía correos spam o engañosos (por
ejemplo, empleos). Al no distinguir la página original de la falsa, las
personas inocentemente suministran información personal y claves bancarias que
el suplantador almacena en una base de datos y luego ordena la transferencia
del dinero de la víctima a cuentas de terceros quienes prestan sus cuentas o
servicios (testaferros), que luego reclama o distribuye.
La Figura 3 muestra las "Circunstancias de agravación
punitiva", o aquellas situaciones que por agravantes aumentan la pena del
delito (Artículo 269H/Ley 1273 de 2009).
Estas condiciones se dan cuando el delito se comete
en redes, sistemas informáticos y de comunicaciones del Estado o del sector
financiero nacional o extranjero; o cuando se origina o promueve por un
funcionario público; o cuando se da a conocer información confidencial en
perjuicio de otro para obtener provecho propio o de terceros; o cuando se actúa
con fines terroristas para atentar contra la seguridad o defensa nacional, o
cuando se usa como instrumento a un tercero de buena fe.
En la Figura 4 se trata de "Los atentados informáticos y
otras infracciones"; referidos en los artículos 269I "Hurto por
medios informáticos y semejantes" y 269J "Transferencia no consentida
de activos", entendidos normalmente como delitos 'ordinarios' en cuya
realización es importante el uso de recursos tecnológicos contemplados en el
capítulo II de la Ley 1273 de 2009 analizada.
Extraído del
sitio web: http://www.scielo.org.co/scielo.php?pid=S0123-14722010000200003&script=sci_arttext
No hay comentarios:
Publicar un comentario