Generalmente, lo primero que hacemos al levantarnos de la cama es ver el teléfono, ya sea para revisar el correo o las distintas plataformas de mensajes que existen hoy en día, más tarde, encendemos el computador para estudiar o trabajar, y si tenemos deudas pendientes usamos una app de nuestro banco para pagar servicios, compras y demás elementos disponibles. Entre estos eventos, la información que proporcionamos para realizar tales tareas es personal, cuya autorización de uso no resulta para el común un asunto de índole proteccionista, sino un proceso normalizado de interacción humana.
Con base en lo anterior, la tecnología ha avanzado lo suficiente como para anteponerse a las necesidades humanas, brindando una experiencia altamente personalizada en cuanto a su uso, no obstante, esto no significa que todos aquellos procesos en los cuales las nuevas tecnologías estén involucradas sean seguros, y frente a esos vacíos de seguridad se cometen los Ciberdelitos. Para entender cómo se llevan a cabo los Ciberdelitos, es necesario aclarar que ellos se dirigen a quebrantar el sistema de seguridad en cuanto al almacenamiento de la información, entendiéndose información como “Una agregación de los datos que tiene un significado específico más allá de cada uno de estos” (Borghello, 2001) – entonces los ciberdelitos se definirían como todo aquel hecho no deseado que atente contra la seguridad de la información, aplica a todos los medios en la cual sea almacenada, expresando que el almacenamiento de la información puede ser el bases de datos automatizadas (como en la nube, en un computador, teléfono o cualquier otro dispositivo) o en bases de datos manuales (como papel, expedientes y listas).
Por consiguiente, la fundamentación de la premisa anterior se cimienta en la caracterización de lo que es la información y sus pilares fundamentales: Integridad (principio de no alteración), la información sólo podrá ser alterada en el evento en el cual su responsable lo autorice, lo cual debe registrarse en la base de datos; Disponibilidad (estar almacenada y disponible para que aquellos que sean autorizados puedan tratarla); y Confidencialidad (que sea sólo conocida por autorizados); dichos pilares fundamentales de la información determinan de manera específica el tipo de tratamiento que se debe tener con la información, con el fin de mantener los riesgo de manera ínfima y poder controlarlos.
Si bien los ciberdelitos son delitos sofisticados puesto que atentan contra seguridad de la información, las empresas que trabajen con bases de datos (ya sea de clientes, empleados, etc) deben implementar mecanismos de respuesta ante los riesgos a los cuales se exponen por ser responsables del manejo de la información de manera tercerizada; el riesgo es tan simple como abrir un correo infectado con malware, reescribir el código fuente del emisario, deterioro de documentos físicos o el hurto de los mismo, por consiguiente los mecanismos de protección deben ofrecer respuestas rápidas ante un ataque cibernético, para ello, para implementar un sistema de seguridad adecuado es importante determinar los riesgos a los cuales está expuesta la información para asumir, mitigar y reducir.
Ya esclarecidos los conceptos básicos de información, sus caracterizaciones y lo que es el ciberdelito, nos adentraremos en la aplicación penal del mismo, teniendo como límite espacial la aplicación de la regulación normativa en Colombia.
La definición más aceptada de la palabra delito es “toda acción típica, antijurídica y culpable”, conlleva especificar cuál es el sujeto al que se le aplica la acción penal, que en este caso, el sujeto activo (quien realiza la conducta antijurídica) sería quien realiza los ataques cibernéticos con el fin del uso no autorizado de datos personales, cuya persecución resulta bastante difícil puesto que no son personas que plenamente se puedan identificar porque actúan de forma anónima, y, debido a la masividad de la circulación de contenidos en la red, se puede ocasionar fluctuaciones indebidas de información personal, provocando al sujeto pasivo lesiones directas al bien jurídico tutelado (injuria, calumnia, etc.)
Ahora, en la doctrina también encontramos acepciones acordes a la definición de delito cibernético:
Conducta típica: Las conductas típicas, antijurídicas y culpables en que se tienen a las computadoras como instrumento o fin y las conductas atípicas como actitudes ilícitas en las que se tienen a las computadoras como instrumento o fin. (Téllez Valdés, 2003)
Conducta contraria a la ética: Cualquier conducta no ética, no autorizada, que involucra procesamiento automático de datos y/o la transmisión de datos. (Organización para la Cooperación económica y el Desarrollo)
Punto de vista triple: Como fin en sí mismo (tecnología como objeto de defensa que manipula la información), como herramienta del delito (tecnología para facilitar la comisión del delito) y como objeto de prueba (tecnología que guarda pruebas respecto a la comisión del delito). (Alexander Díaz García, 2009)
Regresando al sujeto imputable del delito, encontramos que existen agrupaciones dedicadas a hacer cibercrimen y ciberdelincuencia, cuya diferencia es sumamente importante pata la identificación del sujeto activo. Generalmente, la ciberdelincuencia es llevada a cabo de manera intermitente, realizando delitos de ocurrencia común y e independiente, no tiene ningún tipo de organización, un ejemplo claro sería publicar fotos sensibles de alguien más en una plataforma a través de un perfil falso, entre otros; mientras que el cibercrimen es realizado por un grupo de individuos, comisionando delitos de ocurrencia sistematizada, motivados por ganar dinero, que son operados por grupos organizados y profesionales, un ejemplo claro del cibercrimen es el escándalo de WikiLeaks, revelando información sensible de manera desproporcionada, lo que provocó serios problemas de seguridad en Estados Unidos; el phishing, para robar información de cuentas bancarias; implantación de virus, malware o spam, entre otros.
Continuando el recorrido de identificación normativa, hallamos los principales lineamientos normativos nacionales en el Código Penal (Ley 599 de 2000, en su artículo 153), Ley 1273 de 2009, e internacionales en el Convenio de Ciberdelincuencia de Budapest (ratificado en la Ley 1928 de 2018), que puntualizan el bien jurídico protegido como una garantía a la protección de datos personales y su autorización de uso, además acoge la confidencialidad, integridad y confidencialidad de la información y de los sistemas informáticos donde esta se almacena o transfiere. El reconocimiento del bien jurídico “De la Protección de la información y de los datos” es relativamente reciente, puesto que hace años atrás los delitos cibernéticos no tenían incidencia por la falta de desarrollo tecnológico, entonces, la protección del mismo va ligada al avance que tenga la tecnología y el uso que se le dé.
Por último, para finalizar nuestro estudio general sobre el ciberdelito y sus elementos, estudiaremos las características más relevantes del ciberdelito y los vacíos respecto a su aplicación. Para definir las características de los ciberdelitos, el jurista Julio Téllez Valdés delimita la incidencia de las mismas, destacando las más importantes en los siguientes ítems:
- Son conductas de criminales de cuello blanco, puesto que sólo aquellos con el conocimiento específico pueden comisionar tales delitos.
- Son acciones ocupacionales, puesto que estos delitos se realizan generalmente cuando el sujeto pasivo está trabajando.
- Son acciones de oportunidad, puesto que se realizan en momentos de conmoción.
- Provocan pérdidas económicas al sujeto pasivo.
- Posibilidades de tiempo y espacio, ya que no hay presencia física.
- Muchos casos, pocas denuncias.
- Crimen sofisticado.
- Difícil de comprobar, ya que se actúa a través de medio s tecnológicos.
- De rápida proliferación, por el avance tecnológico.
De acuerdo a los vacíos de normativos de los delitos cibernéticos, citamos al jurista Horacio Fernandez Depelch, quien detalla en su última obra las dificultades respecto a la implementación de los delitos cibernéticos en el sistema jurídico:
- Falta de tipificación específica en países: No todos los países han implementado en su ordenamiento jurídico normas que correspondan a puntualizar estas conductas como punibles.
- Transnacionalidad de conductas: de difícil persecución puesto que debe identificarse el origen del ataque, que comúnmente, es cometido de forma anónima.
- Falta de consenso internacional respecto al reproche de dichas conductas: no existe un modelo generalizado de reproche penal frente a la comisión de los delitos cibernéticos y su impacto.
- Permanentes innovaciones tecnológicas: lo cual favorece al sujeto activo para crear nuevos medios de influencia, además de destacar, que la tecnología avanza más rápido que las respuestas normativas.
Como conclusión, podemos destacar que los delitos cibernéticos son delitos de formato complejo y novedoso, cuya comisión generalmente se lleva a cabo en grupos organizados con fines de captación monetaria; en cuanto a sus elementos, el sujeto activo casi siempre actúa bajo el anonimato, por lo tanto es difícil su identificación, dejando desprotegidas las garantías que propugna el bien jurídico, ya que la falta de creación e implementación de normas crea vacíos legales que propician a que los actores no sean procesados y goce la impunidad. El proceso de implementación normativa favorable es lento, sin embargo, necesario.
Recomendación final, de usuario a usuario:
- Cambien sus contraseñas personales frecuentemente, combinando mayúsculas, minúsculas y caracteres especiales.
- No compartan información sensible por redes de alta difusión.
- No realicen operaciones financieras de gran magnitud a través de portales no certificados por sus bancos.
- No compren ni adquieran servicios en portales que no sean confiables.
- No inicies sesión en sitios desconocidos.
Con estos consejos básicos, mitigamos el riesgo de ser objeto de un ciberdelito y protegemos nuestros datos personales. Si estás siendo víctima de cibercrimen, dentro de Colombia la Policía Nacional posee un canal de reacción inmediata, al cual puedes acudir en el siguiente enlace: https://www.policia.gov.co/denuncia-virtual/delitos-informaticos
Citas:
Borghello, Cristian F.: “Seguridad informática. Su implicancia e implementación”, 2001. Reg. UTN/Facultad 0015/793.
Téllez Valdés, Julio: Derecho Informático, Tercera edición. Editorial Mc Graw Hill, México, 2003.
OCDE: “Delitos de Informática: análisis de la normativa jurídica”. Extraído de: ocde.org
Díaz García, Alexander: “El bien jurídico tutelado de la información y los nuevos verbos rectores en los delitos informáticos”, 2009. Extraído de: oas.org
Fernández Depelch, Horacio: “Manual del Derecho Informático”, Primera edición. Editorial Albeledo Perrot, 2014.