Columnas

Algunas consideraciones respecto de los nuevos delitos informáticos y su prevención

La competencia, la inteligencia artificial y sin duda la pandemia COVID-19, han incrementado la dependencia de la tecnología, acelerando el uso del teletrabajo y los procesos de transformación digital en gobierno, empresas, instituciones educativas y personas. Ante este cambio de escenario cobra mayor relevancia el Proyecto de Ley de Delitos Informáticos, que ya se encuentra en el congreso.

*Por Pedro Morales C. y Carlos Frías

Es indudable que el uso de la tecnología se ha masificado de manera exponencial en nuestro país a una velocidad que, como es frecuente, no va a la par con los cambios en nuestra legislación. Es así como El Network Readiness Index (NRI), uno de los principales índices mundiales sobre la aplicación e impacto de las tecnologías y comunicación en las economías del mundo, da cuenta de que Chile en el año 2020 se encontraba en el lugar 50 y en el año 2021 subió al lugar 44 de las 130 economías incluidas en este estudio, el cual posee cuatro pilares que incluyen tecnología, personas, gobernanza e impacto (Fuente: NRI 2021 Ranking, Portulans Institute)

Carlos Frías

La competencia, la inteligencia artificial y sin duda la pandemia COVID-19, han incrementado la dependencia de la tecnología, acelerando el uso del teletrabajo y los procesos de transformación digital en gobierno, empresas, instituciones educativas y personas. Ante este cambio de escenario cobra mayor relevancia el Proyecto de Ley de Delitos Informáticos, ( el Proyecto de Ley) el cual se encuentra ya aprobado por el Congreso, y cuyo objetivo es actualizar nuestra normativa en materia de delitos informáticos y ciberseguridad, reemplazando la actual Ley 19.223 y modificando otros cuerpos normativos, de manera de adecuar nuestra legislación al Convenio de Budapest sobre Ciberdelincuencia del Consejo de Europa de 23 de noviembre de 2001 (el “Convenio”).

El texto del Proyecto de Ley contiene 8 ilícitos, los cuales vienen a llenar un sensible vacío en nuestra legislación, considerando que nuestra actual Ley de Delitos Informáticos es de 1993 y sin duda no se ajusta al avance tecnológico de los últimos 30 años.

El Proyecto de Ley modificará, entre otros cuerpos legales, a la Ley 20.393 sobre Responsabilidad Penal de las Personas Jurídicas, incorporando a las personas jurídicas como eventuales responsables por los delitos señalados en la nueva Ley de Delitos Informáticos. Asimismo, estos nuevos ilícitos se han considerado dentro de los delitos bases del Lavado de Activos incorporándose, por tanto, a la Ley 19.913 que crea la Unidad de Análisis Financiero y modifica diversas disposiciones en materia de lavado y blanqueo de activos, aunque restringiendo su aplicación exclusivamente al artículo 27 letra a).

1.- Las Novedades del Proyecto de Ley

En primer lugar y en línea con las modificaciones que trae aparejado el Proyecto de Ley, se introducen los siguientes conceptos:

a.- Datos informáticos: Toda representación de hechos, información o conceptos expresados en cualquier forma que se preste a tratamiento informático, incluidos los programas diseñados para que un sistema informático ejecute una función.

b.- Sistema informático: Todo dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre sí, cuya función, o la de alguno de sus elementos, sea el tratamiento automatizado de datos en ejecución de un programa

Pedro Morales

Por otro lado, el catálogo de delitos informáticos que contempla el Proyecto de Ley incorpora un elemento que muy probablemente facilitará que se logre llegar al estándar mínimo necesario para obtener condenas, según lo exige nuestro sistema procesal penal. Nos referimos a la voz indebidamente, elemento subjetivo del tipo que, con lo cual según se desprende de las discusiones a que dio lugar el Proyecto de Ley, se prescindirá de la necesidad de probar un dolo directo del interviniente en el hecho, bastando entonces demostrar la existencia de un dolo, al menos eventual del partícipe. Recordemos que hoy día la Ley 19.223 utiliza la expresión maliciosamente, para referirse a lo que muchos en la doctrina consideran equivalente a la necesidad de probar el dolo directo del autor de delitos informáticos.

Entre los novedosos tipos penales que se contienen en el Proyecto de Ley destacaremos los siguientes:

Ataque a la integridad de los datos informáticos. Este tipo penal está tipificado en el artículo cuarto del Proyecto de Ley y sanciona a quien indebidamente: altere, dañe o suprima datos informáticos, siempre que con ello se cause un daño grave al titular de estos mismos. Las conductas tipificadas en este nuevo delito están asociadas -entre otras- al “malware, lo que corresponde a un sinfín de softwares maliciosos, y que tienen objetivos que van desde la destrucción de datos alojados en servidores o computadoras personales, pasando por la mera demostración de la vulnerabilidad de los sistemas, hasta el desvío de los servidores con el objeto de redirigir la navegación para la propagación de publicidad, o bien, para introducirse en sistemas de información, a través de la utilización o simulación de datos reales a fin de hacer creer a la víctima que se está contactando con un usuario real, por ejemplo, una página de una entidad bancaria por Internet u otro servicio de carácter comercial . El malware también puede encriptar o eliminar datos confidenciales, modificar o desviar las funciones básicas del ordenador y espiar la actividad informática de los usuarios.

Receptación de datos informáticos. El artículo 6° del Proyecto sanciona al que conociendo su origen o no pudiendo menos que conocerlo comercialice, transfiera o almacene con el mismo objeto u otro fin ilícito, a cualquier título, datos informáticos, provenientes de la realización de las conductas descritas en los artículos 2°, 3° y 5° del Proyecto de Ley.

En este sentido lo relevante de esta descripción típica es que: i) no se exige un efectivo conocimiento, sino que basta con que “no pueda menos que conocer el hecho ilícito”, ii) los datos informáticos, se transfieran o almacenen con un propósito comercial, iii) que tales datos provengan de alguno de los ilícitos descritos anteriormente, esto es, del acceso ilícito, de la interceptación ilícita o de una falsificación informática.

Fraude informático. El artículo 7 del Proyecto tipifica “El que, causando perjuicio a otro, con la finalidad de obtener un beneficio económico para sí o para un tercero, manipule un sistema informático, mediante la introducción, alteración, daño o supresión de datos informáticos o a través de cualquier interferencia en el funcionamiento de un sistema informático. Agrega esta norma que: “Para los efectos de este artículo se considerará también autor al que, conociendo o no pudiendo menos que conocer la ilicitud de la conducta descrita en el inciso primero, facilita los medios con que se comete el delito”.

La necesidad de tipificar el fraude informático proviene de la dificultad de adecuar esta conducta a los tipos establecidos en el artículo 2° de la Ley 19.223 y al concepto de estafa tradicional contemplado en el Código Penal Chileno. De todas formas, es necesario señalar que resulta problemática su redacción, ya que la Ley le atribuirá expresamente responsabilidad al facilitador de medios como coautor, pero no delimita que significa en concreto un facilitar medios para este tipo de delitos.

En la descripción del tipo podemos subsumir casos frecuente ocurrencia como la creación de páginas web similares a las originales pero falsa- con el propósito de obtener de parte del cliente, bajo error y voluntariamente, datos bancarios (pharming); o bien, la falsificación de un correo electrónico institucional bancario para que la víctima introduzca voluntariamente -bajo error- sus claves bancarias (phishing) y que el hechor pueda disponer de ellas a voluntad.

La incorporación a este tipo penal de la palabra “manipulación” de los sistemas informáticos, es un elemento fundamental para perseguir el pharming, figura en donde lo que se realiza, es precisamente, una manipulación sobre el sistema operativo, tanto del titular de la clave bancaria, como también de la plataforma de banca online.

2.- Medidas de prevención ante la amenaza a los delitos informáticos

En ese sentido, y siempre en el contexto de la transformación digital que experimentamos, muchas organizaciones han sufrido ataques mediante delitos informáticos debido a la desinformación o exceso de seguridad. Así lo muestra la evidencia empírica, en base a la información entregada por la Policía de Investigaciones, los delitos informáticos se incrementaron 45% en el año 2021 en comparación al año anterior (Fuente: Publicación de Prensa PDI “Ciberdelitos continuaron al alza en 2021” del 04-01-2022).

La dificultad que tienen los delitos informáticos es que se dan en un ambiente y contexto de permanente evolución, lo que significa que las medidas de control también deberán ir evolucionando para para prevenir estos delitos.

Ante esta amplia gama de delitos incorporados, las organizaciones deben tomar conciencia de los riesgos asociados a este tipo de delitos e implementar medidas de mitigación que permitan reducir este tipo de conductas. Entre estas medidas de mitigación recomendamos las siguientes:

  • Establecer un inventario de todos y cada uno de los riesgos que pueden estar expuestos (vulnerabilidades).
  • Establecer una política de ciberseguridad en toda la empresa.
  • Proteger la red
    • Mantener la infraestructura actualizada.
    • Mantener los sistemas operativos actualizados.
    • Mantener los computadores actualizados.
    • Monitorizar e identificar tráfico de red inusuales.
    • Establecer los niveles de acceso adecuados.
  • Establecer una política BYOD (trae tu propio dispositivo) para los dispositivos de los colaboradores.
  • Mantener actualizado el inventario de los activos tecnológicos.
  • Mantener informado y capacitado a sus colaboradores para detectar amenazas.
    • Nunca hagas clic en un vínculo riesgoso.
    • No divulgues información personal.
    • Nunca abras un archivo adjunto sospechoso.
    • Nunca uses una memoria USB que no conozcas.
    • Mantén al día las aplicaciones y el sistema operativo de tu dispositivo.
    • No descargues archivos de fuentes desconocidas.
    • Utiliza un servicio de VPN cuando te conectes a una red Wi-Fi pública.
  • Establecer una policita de dispositivos.

Finalmente, es importante mencionar que, conforme a las normas transitorias, la incorporación de estos delitos a la Ley 20.393 entrará en vigencia luego de 6 meses luego de la publicación de la Ley de Delitos Informáticos en el Diario Oficial.

*Pedro Morales C. Chief Technology Officer Appliance. Ingeniero Informático y Master of Business Administration, UNAB. Scrum Master. Profesional informático con más de 20 años de experiencia liderando empresas dedicadas al desarrollo de servicios tecnológicos en ámbitos productivos, industriales, sociales y soluciones tecnológicas para el Compliance.

*Carlos Frías: Abogado, Pontificia Universidad Católica de Chile. Máster en Derecho Mención en Derecho Internacional de los Negocios, American University, Washington College of Laws (2001). Fue subdirector (2004-2007) de la Unidad Especializada en Lavado de Activos, Delitos Económicos y Crimen Organizado de la Fiscalía Nacional del Ministerio Público. Actualmente es Socio de HD Compliance y HD Systems para la certificación de programas de cumplimiento.

Artículos relacionados

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Close
Close