"DELITOS INFORMATICOS:
La información como bien jurídico y los delitos informáticos en el Nuevo Código Penal Colombiano"

Fecha Última actualización: 15 de Julio 2002

Autora: Sandra Jeannette Castro Ospina
Profesora Titular de Derecho Penal
Universidad Externado de Colombia

3.1. Conductas lesivas de la confidencialidad:

3.1.1. El espionaje informático (industrial o comercial), que debe entenderse como la obtención, con ánimo de lucro y sin autorización, de datos de valor para el tráfico económico de la industria o comercio. Dentro de los comportamientos que encajarían en esta descripción, han sido identificados los siguientes: La fuga de datos (Data leakage), que las empresas o entidades guardan en sus archivos informáticos; las puertas falsas (Trap Doors), consistentes en acceder a un sistema informático a través de entradas diversas a las que se utilizan normalmente dentro de los programas; las "llaves maestras" (Superzapping), que implican el uso no autorizado de programas con la finalidad de modificar, destruir, copiar, insertar, utilizar o impedir el uso de datos archivados en los sistemas de información; el pinchado de líneas (Wiretapping), que se concreta en interferir las líneas telefónicas o telemáticas, mediante las cuales se transmiten las informaciones procesadas; la apropiación de informaciones residuales (Scavenging), que consiste en la obtención de información a partir de lo que desechan los usuarios legítimos de un sistema informático.

3.1.2. El intrusismo informático, este comportamiento es definido como la mera introducción a sistemas de información o computadoras, infringiendo medidas de seguridad destinadas a proteger los datos contenidos en ellos.

3.2. Conductas lesivas de la integridad: Son conocidas también como "Sabotaje Informático". Mediante ellas, el agente se introduce a los sistemas de información con la finalidad de obstaculizar su funcionamiento. Es la conducta que ejecutan los conocidos Hackers o intrusos. Las modalidades más conocidas son las siguientes: Las bombas lógicas (logic bombs), que se introducen en un sistema informático y se activan con un comando especial (fecha, números, etc.), para destruir o dañar datos contenidos en un ordenador; ejemplo de ello fueron los conocidos virus Sycam y Dragón Rojo. Los virus informáticos producen también destrucción o daño en el software o hardware del computador, pero a diferencia de las bombas lógicas, tienen capacidad de expansión y contagio a otros sistemas informáticos, sin que el operador legítimo sepa de ello (es un mero instrumento).

3.3. Conductas lesivas de la disponibilidad: Es posible que las bombas lógicas y los virus informáticos afecten transitoriamente la disponibilidad de la información, sin destruirla. Otros de los mecanismos que pueden impedir el acceso a un sistema de información por parte del usuario legítimo, son los conocidos como "spamm" o el "electronic-mail bombing"; que consisten en el envío de cientos o miles de mensajes de correo electrónico, no solicitados o autorizados, para bloquear los sistemas.

José Mª Alvarez Cienfuegos Suárez , propone estudiar las hipótesis delictivas así: a) Delitos informáticos contra la persona y los bienes y derechos de la personalidad: Intimidad personal y familiar; b) Delitos informáticos contra la seguridad jurídica: La falsificación de los documentos electrónicos; c) Delitos informáticos contra la propiedad: la estafa, el hurto y la apropiación indebida. El fraude informático; d) Protección penal de la propiedad del software.

Miquel Barceló García , citando una ponencia presentada en la Universidad Comillas (España) en mayo de 1989 titulada "La auditoría como medio de prevención frente al delito informático", presentada por el profesor Emilio del Peso Navarro, refiere cinco grupos de figuras propias de la delincuencia informática: 1. Fraude informático; 2. Hacking o terrorismo lógico; 3. Acciones físicas contra la integridad de los sistemas informáticos; 4. Atentados contra el derecho a la intimidad; 5. Atentados a la propiedad intelectual informática.

Este mismo autor enumera los modus operandi, que hasta entonces eran los más frecuentes en el fraude informático :

1) Introducción de datos falsos (data diddling); 2) Caballo de Troya (Trojan horse), que es una forma de sabotaje al usuario; 3) Técnica del salami (salami technique), que consiste en la desviación fraudulenta de céntimos de diversas cuentas bancarias a otra de la cual dispone el autor; 4) Uso no autorizado de programas especiales (superzapping), éstos permiten alterar datos y resultados u obtener información; 5) Puertas falsas (trap doors), se trata de utilizar entradas no autorizadas a programas; 6) Bombas lógicas (logic bombs), se caracterizan por tener efectos destructivos en el software o el hardware; 6) Ataques asincrónicos (asynchronous attacs), permiten al perpetrador de un fraude acceder a sistemas de usuarios lícitos y desviar sus datos o contraseñas para obtener luego un acceso con su identidad; 7) Recogida de información residual (scavenging) que consiste en aprovechar los residuos de la papelera o archivos no destruidos para obtener información; 8) Divulgación no autorizada de datos reservados (data leakage), se trata de la utilización de datos obtenidos con una finalidad diversa como operaciones de inteligencia o espionaje; 9) Entrada a caballo (piggybacking and impersonation), que consiste en hacerse pasar por otra persona y así obtener información; 9) Pinchar líneas (wire tapping); 10) Simulación y modelaje de delitos (simulation and modeling), son conductas de preparación de un ilícito en otro ordenador.; 10) Exploración (scanning), que permite acceder a determinados datos de un ordenador como números de teléfono; 11) Mirar por encima del hombro (schoulder surfing), que consiste en observar la digitación de un operador autorizado, subrepticiamente y a su espalda, para obtener datos como la clave de un sistema; 12) Buscar en la basura (dumpster diving), que se concreta en explorar documentos desechados en un ordenador; 13) Mistificación (spoofing), que es una nueva modalidad de obtener información engañando o simulando datos para que el sistema los provea.

Por su parte, Noelia García clasifica los ataques a los sistemas de información así:

"Interrupción; un recurso del sistema es destruido o se vuelve no disponible. Este es un ataque contra la disponibilidad...Intercepción; una entidad no autorizada consigue acceso a un recurso. Este es un ataque contra la confidencialidad. La entidad no autorizada podría ser una persona, un programa o un ordenador... Modificación; una entidad no autorizada no solo consigue acceder a un recurso, sino que es capaz de manipularlo. Este es un ataque contra la integridad... Fabricación; una entidad no autorizada inserta objetos falsificados en el sistema. Este es un ataque contra la autenticidad... Estos ataques se pueden así mismo clasificar de forma útil en términos de ataques pasivos y ataques activos. Ataques pasivos. En los ataques pasivos el atacante no altera la comunicación, sino que únicamente la escucha o la monitoriza, para obtener información que está siendo transmitida. Sus objetivos son la intercepción de datos y análisis de tráfico, una técnica más sutil para obtener información de la comunicación, que puede consistir en: Obtención del origen y destinatario de la comunicación, leyendo las cabeceras de los paquetes monitorizados. Control del volumen de tráfico intercambiado entre las entidades monitorizadas, obteniendo así información acerca de la actividad o inactividad inusuales. Control de las horas habituales de intercambio de datos entre las entidades de la comunicación, para extraer información acerca de los períodos de actividad. Los ataques pasivos son muy difíciles de detectar, ya que no provocan ninguna alteración de datos... Ataques activos: Estos ataques implican algún tipo de modificación del flujo de datos transmitidos o la creación de un falso flujo de datos, pudiendo subdividirse en cuatro categorías: Suplantación de identidad... Reactuación: uno o varios mensajes legítimos son capturados y repetidos para producir un efecto no deseado, por ejemplo ingresar dinero repetidas veces en una cuenta dada. Modificación de mensajes: una porción del mensaje legítimo es alterada, o los mensajes son retardados o reordenados, para producir un efecto no autorizado. Por ejemplo, el mensaje 'ingresa un millón de pesos a la cuenta A', podría ser modificado para decir 'ingresa un millón de pesos a la cuenta B'. Degradación fraudulenta del servicio: impide o inhibe el uso normas o la gestión de recursos informáticos y de comunicaciones... Entre estos ataques se encuentran los de denegación de servicio, consistentes en paralizar temporalmente el servicio de un servidor de correo..."

4. Conductas que lesionan el derecho a la información como bien jurídico intermedio

Tomando como base tal clasificación, las analizaremos desde nuestra propuesta de tener la información como bien jurídico intermedio, para concluir cuáles de ellas ya están recogidas por el derecho penal y cuáles ameritan ser tipificadas.

4.1. Conductas que afectan la confidencialidad de la información. De las diversas modalidades de conducta analizadas por la doctrina encontramos que los ataques más graves del derecho a la información, como bien colectivo y que ponen en peligro derechos individuales, son las siguientes:

4.1.1. La introducción de datos falsos (data diddling) en bancos de datos personales.

4.1.2. La fuga de datos (data leakage), o revelación dolosa de informaciones concernientes a la vida personal y familiar, o del patrimonio económico individual, que posean personas o entidades autorizadas en sus bancos de datos.

4.1.3. El uso de llaves maestras (superzapping), esto es, la utilización de programas no autorizados con la finalidad de modificar, destruir, copiar, insertar, o impedir el uso de datos archivados en los sistemas de información. Estas manipulaciones son idóneas para afectar la intimidad, la libertad, el patrimonio económico individual, e incluso la vida o integridad personal. Esta última hipótesis podría presentarse con la modificación fraudulenta de los tratamientos médicos efectuados a un paciente o de las drogas suministradas, cuando obren en la base de datos de un hospital; o piénsese en la tragedia que podría presentarse para los pasajeros de una aeronave, cuando un terrorista o un sicópata se introduce al computador de ésta y modifica la ruta, las condiciones de vuelo o la presencia de otras aeronaves.

4.1.4. El pinchado de líneas (wiretapping) telemáticas mediante las cuales se transmiten informaciones. Con esta cpnducta se afecta el derecho individual a la inviolabilidad de las comunicaciones.

4.1.5. El intrusismo informático, reúne conductas consistentes en introducirse indebidamente en sistemas de información, bases de datos, o correos electrónicos ajenos; con lo cual se ponen en peligro los derechos individuales a la intimidad e inviolabilidad de comunicaciones privadas. Las técnicas empleadas para ejecutar esta conducta son, entre otras, la recogida de información desechada por el usuario autorizado (scavenging and dumpster diving); la utilización indebida de claves de acceso (login) y nombre de usuario autorizado (piggybacking and impersonation, oder spoofing); la exploración a la memoria de un ordenador para obtener datos que luego serán utilizados, como números de teléfono, de tarjetas de crédito o de cuentas bancarias (scanning); o el monitoreo de la frecuencia en las comunicaciones (asynchronous attacs).

4.2. Conductas que afectan la integridad de la información.

4.2.1. Reunidas las exigencias del tipo objetivo y subjetivo doloso, tanto las bombas lógicas (logic bombs), como los virus informáticos, son conductas que afectan la integridad de la información, y son idóneas para lesionar el derecho individual del patrimonio económico (daño en bien ajeno).

4.2.2. La falsificación de documentos electrónicos afecta la integridad de la información como interés colectivo, y causa detrimento en la confianza requerida por el tráfico jurídico para realizar actos y negocios a través de medios informáticos. Puede lesionar, además del bien jurídico colectivo de la fe pública, el derecho individual del patrimonio económico (estafa).

4.3. Conductas que afectan la disponibilidad de la información.

4.3.1. El bloqueo doloso de un sistema de información de uso individual, con técnicas como el bombardeo de e-mails, supone un atentado a la autonomía personal que podría ser catalogado como un constreñimiento ilegal.

4.3.2. Pueden incluirse dentro de estas conductas aquellas consistentes en impedir dolosamente y en forma temporal, a alguien, el acceso a un sistema, a una base de datos, o al correo electrónico personal. Este comportamiento lesionaría también la libertad individual y, en concreto, la autonomía personal (constreñimiento ilegal).

Los demás delitos a los cuales hace referencia la doctrina, que implican la lesión de bienes jurídicos individuales valiéndose de medios electrónicos o informáticos, como las manipulaciones de cajeros automáticos; las apropiaciones ilícitas de dinero realizados desde ordenadores personales, como la "técnica del salami", etc., son conductas que pueden tipificarse directamente en las descripciones típicas correspondientes al patrimonio económico; sin que requieran una lesión previa al bien jurídico intermedio, colectivo o supraindividual, de la información.

Lo mismo puede decirse de aquellas conductas lesivas de los derechos morales y patrimoniales del autor de un programa de ordenador o un soporte lógico. En estos casos, se lesionan directamente estos intereses individuales, sin pasar por el bien jurídico intermedio al cual nos referimos en este escrito.

Por último, la revelación de secretos industriales contenidos en un sistema de información privado, es una conducta que recae sobre el objeto jurídico de la propiedad industrial que se enmarca dentro del bien jurídico del orden económico y social; sin perjuicio de que pudiere concursar con un delito que afecte la confidencialidad de la información, como el intrusismo informático. Esto último significa que, en nuestro concepto, esta conducta no puede incluirse dentro de las que lesionan el bien jurídico intermedio de la información.

<< Anterior Continuar >>