ASAMBLEA NACIONAL DEL ECUADOR

Transcripción

1 ASAMBLEA NACIONAL DEL ECUADOR Señores Organizadores Cuarto Foro Parlamentario sobre la Configuración de la Sociedad de la Información. El Triple Reto de la Ciberseguridad: Información, Ciudadanos e Infraestructura. Organización Internacional del Trabajo Ginebra Suiza De mis consideraciones: En cumplimiento al requerimiento formulado por ustedes, respecto a que se explique las distintas medidas parlamentarias aplicadas a nivel nacional por parte de la Función Legislativa de la República del Ecuador, para abordar cuestiones mundiales relativas a la Ciberseguridad y por ende precautelar y preservar las libertades y derechos humanos fundamentales de los ciudadanos, en mi calidad de Asambleísta ecuatoriano participante en el Foro como delegado de la Asamblea Nacional del Ecuador, me es muy grato mediante el presente documento remitirles mis comentarios con el propósito de fortalecer el debate y el intercambio de experiencias entre los participantes al Cuarto Foro Parlamentario sobre la Configuración de la Sociedad de la Información. El presente documento establece de manera general la introducción y las principales características del Perfil sobre los Delitos Informáticos en Ecuador y que por lo tanto guardan y mantienen plena concordancia con el reto de la Ciberseguridad dentro de la Configuración de la Sociedad de la Información. 1.- Introducción.- La Ciberseguridad es un tema que esta creciendo en importancia en todos los paises, lo que nos obliga a reflexionar sobre la mejor manera de estar seguros de amenazas digitales, ya sea las creadas por la delincuencia informática o las nuevas tecnologías de información impulsadas por organismos gubernamentales. La Ciberseguridad es una cuestión de alcance mundial, que requiere cooperación internacional para compartir tanto información como experiencias idóneas, para lograr respuestas efectivas en materia de ciberseguridad. El tema de la ciberseguridad debe ser afrontado de manera eficaz por parte del Ecuador y del resto de los Estados a través de sus Gobiernos, quienes deben estar debidamente informados y mantener una adecuada coordinación en esta materia, implementando medidas legales, técnicas, de procedimiento, estructuras institucionales, creando capacidad y respuesta internacional para combatir a las organizaciones transnacionales que operan en la delincuencia informática. Por lo tanto, en mi opinión el Foro permitirá compartir las mejores prácticas con sectores de otros países con la finalidad de lograr como resultado la formación de estratégias nacionales e internacionales de ciberseguridad, la creación de capacidades internacionales de vigilancia, alerta y respuesta inmediata en caso de delitos informáticos nacionales y transnacionales; y, la elaboración de una legislación internacional destinada a penalizar el uso indebido de las tecnologías de la información en el campo de la informática.

2 En el Ecuador, desde el año de 1999 se puso en el tapete de la discusión nacional el Proyecto de Ley de Comercio Electrónico, mensaje de datos y firmas electrónicas, habiéndose realizado cursos, seminarios y diferentes encuentros que conllevaron la conformación de Comisiones para la discusión de la Ley, escenario dentro del cual tuvieron activa participación los organismos estatales directamente relacionados con esta temática de indudable importancia interna como externa; entre ellos el Consejo Nacional de Telecomunicaciones, la Superintendencia de Bancos, las Cámaras de Comercio y la Fiscalía General del Estado. En el mes de abril del 2002, la Legislatura Ecuatoriana aprobó el texto definitivo de la Ley de Comercio Electrónico, Mensaje de Datos y Firmas Electrónicas, y en consecuencia también entraron en vigencia las reformas al Código Penal que daban la luz a los llamados Delitos Informáticos. De acuerdo a la constitución política de la República del Ecuador, en su Título IV, Capítulo 4to, sección Décima, el Art. 195 señala que le corresponde A la Fiscalía General del Estado, dirigir de oficio o a petición de parte la investigación pre procesal y procesal penal. ; Esto es en concordancia con el Art. 33 del Código del Procedimiento Penal que señala El ejercicio de la acción pública corresponde exclusivamente al Fiscal. De lo señalado, a la Fiscalía General del Estado dentro del ordenamiento jurídico ecuatoriano, le corresponde mediante sus fiscales la investigación de los delitos informáticos, contando con la colaboración de la Policía Judicial al tenor de lo que dispone el Art. 208 del Código de Procedimiento Penal. Se debe reconocer que nuestro país nos encontramos recién en un proceso constante de preparación en el orden técnico para combatir las infracciones informáticas, labor que la lleva a cabo tanto la Fiscalía como la Policía Judicial; no existiendo en la actualidad la infraestructura necesaria para combatirlas y a lo cual se debe agregar que por parte de la Función Judicial, tanto los jueces y magistrados confunden a los delitos informáticos con delitos tradicionales, siendo incapaces de asumir estas nuevas conductas delictivas que tienen a la Informática como su medio o fin. Por tanto, el reto que tiene el Ecuador es de concretar a la brevedad posible dentro de la Fiscalía y de la Policía Judicial, la formación de unidades investigativas especializadas que puedan abordar y enfrentar con éxito todas las cuestiones relacionadas con la Delincuencia Informática Nacional y Transnacional, unidades que por otra parte podrán obtener cooperación internacional fundamentada en redes transnacionales públicas de confianza y transparencia informática entre los agentes de aplicación de toda la normativa internacional dictada para combatir los delitos informáticos. El nivel de cooperación internacional debe ser de carácter multilateral para lograr el éxito en esta lucha contra la delincuencia que valiéndose de las herramientas informáticas atenta contra la Configuración de la Sociedad de la Información. Por otro lado, en esta introducción reviste especial importancia manifestar que en los últimos tiempos ha existido un acelerado proceso de masificación de virus informáticos globales, la difusión mundial de la pornografía infantil e incluso actividades terroristas que en su conjunto constituyen nuevos ejemplos de delitos informáticos sin fronteras. Bajo estas breves consideraciones, por ser de su competencia dentro de la Legislación

3 Ecuatoriana a la Fiscalía General del Estado combatir este tipo de delito, ha creado el Departamento de Investigación y Análisis Forense, como un primer paso para poseer un cuerpo especializado que combata esta clase de criminalidad a fin de precautelar los derechos ciudadanos a la información que se divulga mediante redes informáticas. 2.- Tipos de Delitos Informáticos en la Legislación Ecuatoriana.- Los delitos que a continuación se transcriben se encuentran como reforma al Código Penal Ecuatoriano al expedirse la Ley de Comercio Electrónico, Mensajes de Datos y Firmas Electrónicas, publicada en Ley No. 67 Registro Oficial, Suplemento 557 de 17 abril del Delitos contra la Información Protegida: Violación de Claves o Sistemas de Seguridad. Art. 202, innumerado, Código Penal.- La persona(s) que obtuvieren información sobre datos personales para después cederla, publicarla, utilizarla o transferirla a cualquier título, sin la autorización de su titular o titulares, serán sancionadas con pena de prisión de dos meses a dos años y multa de mil a dos mil dólares. Obtención y utilización no autorizada de información.- Comentario.- Esta divulgación de información es sancionada al haber sido obtenida empleando cualquier medio electrónico, informático o similar, violentando claves o sistemas de seguridad, incluyendo la referente a seguridad nacional y a secretos comerciales e industriales Delitos contra la información protegida: Destrucción o supresión de documentos y programas. Art. 202, innumerado, Código Penal.- Todo empleado público o toda persona encarga de un servicio público, que de manera maliciosa y fraudulenta, hubiera destruido o suprimido documentos, títulos, programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica de los que fueren depositarios o responsables en ejercicio de su cargo, serán reprimidos con tres a seis años de reclusión menor Falsificación Electrónica.- Art. 202, innumerado, Código Penal.- Las personas que alteren un mensaje de datos, lo simulen en todo o en parte, atribuyendo a dichos actos la intervención de personas que no lo han hecho, cometen el delito de falsificación electrónica y serán sancionados con prisión de seis meses a tres años y una multa de 60 a 150 dólares Daños informáticos.-

4 Art. 202, innumerado, Código Penal.- La persona(s) que de manera dolosa utilizando cualquier método, destruyan, alteren, inutilicen, supriman o dañen, de forma temporal o definitiva, los programas, datos, bases de datos, información o cualquier mensaje de datos contenido en un sistema de información o red electrónica, será reprimido con prisión de seis meses a tres años y multa de 60 a 150 dólares. La pena de prisión se endurece de tres a cinco años y multa de 200 a 600 dólares, cuando se trate de información contenida en un sistema destinado a prestar un servicio público o vinculado con la defensa nacional Fraude informático.- Art. 553, innumerado, Código Penal.- Serán reprimidos con prisión de seis meses a cinco años y multa de 500 a 1000 dólares, la persona(s) que utilizaren de forma fraudulenta sistemas de información o redes electrónicas, para facilitar la apropiación de un bien ajeno, o procurar la transferencia no consentida de bienes, valores o derechos de una persona, en perjuicio de esta, de un tercero, en su propio beneficio o de otra persona, manipulando o modificando el funcionamiento de redes electrónicas, programas informáticos, sistemas informáticos, telemáticos o mensajes de datos Pornografía Infantil.- De los delitos de explotación sexual. Descripción del delito: Producción, comercialización y distribución de imágenes pornográficas de niños, niñas y adolescentes. Igualmente, las mismas imágenes sobre materiales visuales, informáticos, electrónicos y sobre cualquier otro soporte o formato. También se tipifica como este tipo de delito, organizar espectáculos pornográficos con la participación de menores de edad y la confección o elaboración de representaciones gráficas. Este delito se encuentra tipificado en el Art del Código Penal, determinando una sanción de reclusión mayor extraordinaria de 12 a 16 años, el pago de indemnizaciones, el comiso de los objetos y de los bienes productos del delito; y en caso de reincidencia, la pena para el infractor será de 25 años de reclusión mayor especial. Por otro lado, el Código Penal Ecuatoriano mediante el artículo ya mencionado, cuando el infractor es el padre, madre, los parientes, hasta el cuarto grado de consanguinidad y segundo de afinidad, los tutores, los representantes legales, curadores o cualquier persona del entorno íntimo de la familia, los ministros de culto, los maestros y profesores y, cualquier otra persona por su profesión u oficio hayan abusado de la víctima, son sancionados con una pena de 16 a 25 años de reclusión mayor extraordinaria Interceptación de comunicaciones.- El Código Penal Ecuatoriano mediante su Art. 197, sanciona a la persona o a las personas que interceptaren sin orden judicial conversaciones telefónicas o las realizadas

5 por medios afines, considerando que se trata de una infracción contra la inviolabilidad del secreto, sancionando a los responsables con penas de dos meses a un año de prisión. Se debe aclarar que el referido Código exime de responsabilidad a quien lo hizo, cuando puede demostrar y por ende probar, que la intercepción se produjo por error, en forma accidental o fortuita. 3.- Normas procesales para este tipo de delitos Manual de manejo de evidencias digitales y entornos informáticos.- Los delitos informáticos son motivo de preocupación en todos los estados del mundo, toda vez que causan ingentes perdidas económicas tanto en el sector comercial, como el bancario, donde por citar un ejemplo, las manipulaciones informáticas fraudulentas ocasionan perdidas por miles de millones de dólares y lo cual produce la falta de credibilidad y el debilitamiento de todo el sector financiero. Bajo esta premisa, en el Ecuador se han desarrollado diversos procedimientos para describir y sancionar dichas infracciones a la Ley, siendo una de estas herramientas la Informática Forense, ciencia criminalística, que por la utilización masiva de las tecnologías de la información y de la comunicación en todos los ámbitos del quehacer humano, ha adquirido una gran importancia, como consecuencia de la globalización de la sociedad de información. Desde el punto de vista de la Justicia Penal, sus operadores en un esfuerzo conjunto con los profesionales de la informática, son los llamados a combatir los delitos tecnológicos y dentro del cual tiene vital importancia la Informática Forense, para recuperar los registros y mensajes de datos existentes dentro de los equipos y redes informáticas, digitalizando esta información como prueba dentro del trámite de un Juicio Penal por delitos informáticos. La Fiscalía General del Estado ecuatoriano para lograr este objetivo, ha elaborado y viene aplicando un Manual de Manejo de Evidencias Digitales y Entornos Informáticos; constituyéndose en una guía de actuación para los funcionarios de la Fiscalía y la Policía Judicial, cuando en la escena del delito se encuentran dispositivos informáticos o electrónicos relacionados con la infracción que se investigue. El referido Manual tiene el siguiente contenido temático: 1. Importancia 2. Objetivo 3. Principios básicos 4. Principios de peritaje 5. Reconocimiento de la evidencia Digital 6. Procedimientos de Investigación de Dispositivos Informáticos o Electrónicos en la escena del delitos. 7. Principales Características de otros equipos electrónicos e Informáticos 8. Rastreo de Correos Electrónicos. En conclusión, la finalidad del Manual desarrollado por la Fiscalía ecuatoriana, es brindar una visión general e introductoria a la Informática Forense, sentando las bases de la investigación científica en esta materia, coadyuvando a que los investigadores puedan

6 manejar las escenas de los delitos informáticos y donde se encuentran inmersos redes y sistemas de información que deben ser recuperados como evidencia digital y lo que permite una mejora sustancial de la justicia Penal en este tipo de infracciones. 4.- Validez de evidencia digital.- La Ley de Comercio Electrónico y el Código Orgánico de la Función Judicial recogen en sus diferentes disposiciones principios básicos de los medios de prueba respecto a los delitos informáticos, otorgándoles validez y eficacia jurídica en las actuaciones procesales, por medio de las tecnologías de la información. De igual manera en el Código Civil, Código de Procedimiento Civil, Ley de la Jurisdicción Contencioso Administrativa, Código Tributario y otros Cuerpos legales, reconocen la validez y eficacia en los Juicios sobre la evidencia digital y por lo tanto adquiere relevancia y admisibilidad dentro de la Justicia ecuatoriana 5.- Relevancia y admisibilidad de la evidencia digital.- Es importante tener en consideración estas normas en todo proceso de investigación de los delitos informáticos, toda vez que el descubrimiento y recolección de la evidencia, permite su procesamiento, filtrado revisión y análisis, que finalmente nos llevarán a su presentación en Juicio. El Estado ecuatoriano mediante el órgano de persecución Penal que es la Fiscalía General del Estado, debe establecer que en el equipo informático en donde se encontró la evidencia digital, estuvo en poder del sospechoso o imputado en relación a la cadena de custodia sobre los elementos físicos de un sistema informático. Por otra parte también debe establecer que el mensaje de datos descubierto fue guardado o almacenado en dicho equipo. En base a estos dos enunciados, se construye la admisibilidad de la evidencia digital dentro de un proceso penal; razón por la cual, el investigador forense debe adoptar los procedimientos necesarios para proteger su integralidad, permitiendo que la evidencia sea autenticada y admitida en juicio como prueba. 6.- Misión del Departamento de Investigación y Análisis Forense de la Fiscalía General del Estado Misión Constituirse en un soporte de la investigación y persecución de todo lo relacionado con la denominada criminalidad informática y de manera especial amenazas por correo electrónico, páginas web, pornografía infantil, fraudes en comunicaciones mediante bypass, fraude en internet, seguridad lógica contra virus, hacking y sustracción de cuentas de correos electrónicos ; bajo el principio de que la ciberseguridad debe garantizarse en cualquier entorno social y los sistemas y redes informáticas. 7.- Caso práctico de aplicación de la Legislación Ecuatoriana por delitos informáticos.- Mediante resolución interinstitucional No. 002-FGE-CSBS-2011 de 25 de abril del 2011, la Superintedencia de Bancos y Seguros y la Fiscalía General del Estado Ecuatoriano, como consecuencia de haber receptado diversas denuncias presentadas por usuarios, clientes

7 de la banca privada, que habían sido víctimas de la fragilidad del sistema informático bancario, habiendo sido afectados por el cometimiento del denominado Fraude informático ; dispuso que las Instituciones Financieras Privadas atiendan y solucionen los reclamos y denuncias presentadas por sus clientes y usuarios afectados. Como consecuencia de esta resolución, estos organismos de control del Estado Ecuatoriano, dispusieron a las Instituciones Financieras devuelvan los valores por perjuicios ocasionados por fraude informático, pero a la vez les facultó puedan ejercer las acciones legales en contra de quienes cometieron estas infracciones informáticas y dispuso a la vez que los usuarios indemnizados, presten a la banca privada y pública toda la colaboración necesaria con esta finalidad. Por otro lado, la referida resolución obliga a las Instituciones del Sistema Financiero Ecuatoriano, emprender acciones correctivas necesarias para impedir el cometimiento del denominado fraude informático; especialmente la ejecución de campañas de información personalizada a sus clientes a fin de evitar que sean perjudicados por transacciones fraudulentas mediante el sistema informático. Igualmente, se dispuso que los usuarios perjudicados por fraude informático, se les restituya los valores económicos que de sus cuentas corrientes o de ahorros habían sido debitadas de manera fraudulenta, mediante transferencia bancaria a las cuentas de su propiedad y en el supuesto de que los usuarios perjudicados no aceptaren los montos de devolución señalados en esta resolución, se les faculta a interponer las acciones legales correspondientes, a fin de reclamar el 100% de su perdida patrimonial. Lo enunciado como caso práctico de aplicación de la Legislación Ecuatoriana en el caso de fraudes informáticos en cuentas corrientes y de ahorro de los clientes del Sistema Bancario y Financiero Ecuatoriano, permite apreciar y valorar su aplicación y para lo cual se observa normas constitucionales que determinan como característica fundamental de la actividad bancaria y financiera, como un servicio de orden público y que por lo tanto los fraudes informáticos denunciados se encuentran bajo la responsabilidad de las entidades bancarias, al no haber adoptado e implementado mecanismos de seguridad informática y no haber capacitado e informado a sus clientes sobre medidas de prevención para evitar este tipo de delito. 8.- Convención Internacional sobre Cibercrímen del Consejo de Europa.- Este convenio suscrito el 21 de Noviembre del 2001 en Budapest Hungría fue impulsado por el Consejo de Europa y otros países como Estados Unidos y Japón. El referido convenio se compone de varios puntos relacionados a las infracciones informáticas en cualquier tipo o sistema, buscando como objetivo fundamental armonizar las leyes penales sustantivas aplicables a las conductas delictivas del entorno informático entre los miembros de la comunidad Europea; proveer reglas de procedimiento penal para la investigación y persecución de estas conductas delictivas; y establecer un régimen dinámico y efectivo de cooperación internacional. En este informe señalamos la importancia de esta convención, toda vez que la Fiscalía General del Estado ecuatoriano mantiene contactos para iniciar un proceso de cooperación que fortalezca las actividades que desarrolla para el combate de las infracciones informáticas y especialmente en lo relacionado a la legislación Penal de cada Estado suscriptor de este Convenio, producto de esta experiencia europea contra el

8 Cibercrímen. 8.- Convención de las Naciones Unidas contra el crimen organizado Esta convención entro en vigor en Septiembre de 2003, siendo el principal instrumento internacional en la lucha contra la delincuencia organizada. La convención tiene 147 estados signatarios y 100 estados parte y de la cual el Ecuador participa, dejando de manifiesto la importancia sobre la aplicación de reglas básicas para la persecución y sanción a la delincuencia organizada transnacional, con especial énfasis en los delitos relacionados con la legitimación de activos y de corrupción. Dentro de este contexto internacional, el Ecuador por la apertura de nuevos mercados y la aplicación de nuevas tecnologías de las comunicaciones, considera que este tipo de delincuencia transnacional constituye una real amenaza para el desarrollo económico de países que como el nuestro, se encuentran en transición,; razón por la cual, la promulgación de legislación apropiada, el fomento de la capacidad de hacer cumplir la ley y la promoción de la cooperación internacional, constituye las herramientas para una lucha frontal contra la delincuencia transnacional y donde reviste especial preocupación las infracciones informáticas dentro de la Configuración de la Sociedad de Información resto presente y futuro de la Ciberseguridad. 9.- Problemática relacionada con los delitos informáticos.- El presente informe que es remitido como aporte de la función legislativa ecuatoriana para animar el debate y el intercambio de experiencias entre los participantes al cuarto foro parlamentario sobre la Configuración de la Sociedad de la Información, considera que los problemas relacionados con los delitos informáticos a nivel nacional e internacional, se pueden resumir a los siguientes aspectos: 9.1 Falta de acuerdos globales, acerca de que tipos de conductas, deben constituir delitos informáticos de acuerdo al principio de lesividad. 9.2 Ausencia de acuerdos globales en la definición legal de dichas conductas delictivas de acuerdo al principio de legalidad. 9.3 Falta de especialización de los operadores de justicia en el campo de los delitos informáticos (jueces, fiscales, policías y funcionarios judiciales). 9.4 Falta de armonización entre las diferentes leyes procesales Nacionales, respecto de la investigación de los delitos informáticos y la validez de la evidencia digital. 9.5 Carácter transnacional de los delitos informáticos cometidos mediante el uso de sistemas y redes informáticas, incluyendo la utilización de computadoras personales. 9.6 Ausencia de fotos de extradicción a nivel mundial entre los estados subscriptores de la convención; así como también, de acuerdos de ayuda mutua y mecanismos sincronizados que permitan la puesta en vigor de la cooperación

9 internacional. 9.7 Participación de la sociedad civil, el comercio, la industria, los inversionistas privados y la academia en la solución de los problema derivados de los llamados delitos informáticos Conclusiones 1.- La dependencia de la Sociedad de la Información a las nuevas tecnologías de la información y de las comunicaciones (tic's) hace patente el grave daño de los llamados delitos informáticos o la delincuencia informática pueden causar a un nuevo estilo de vida. 2.- La importancia que cobra la seguridad para contar con equipos informáticos y redes telemáticas que permitan poner obstáculos y luchar contra dichas conductas delictivas. 3.- La necesidad de tipificar y reformar determinadas conductas delictivas informáticas, a fin de que estas sean perseguidas y castigadas en el ámbito penal de manera efectiva. 4.- Se debe empezar a tomar todas las acciones y medidas necesarias para enfrentar el reto de las ciberseguridad, a fin de no quedar al margen de situaciones que podrían colapsar con la sociedad de la información ecuatoriana por el incremento cualitativo y cuantitativo de la delincuencia informática. 5.- El desarrollo de la Sociedad de la Información y la difusión de los efectos positivos al combate de los delitos informáticos, generará mayor confianza de la ciudadanía en las comunicaciones telemáticas. 6.- La falta de confianza en las nuevas tecnologías que permiten transmitir información, se constituyen en un freno para el desarrollo de la Sociedad de la Información de manera general, y en particular para la administración y el comercio telemático. 7.- La tarea de la Seguridad Informática tendiente a evitar o mitigar los efectos de los delitos informáticos, es una tarea donde deben participar todos los involucrados en este tema, aunando esfuerzos para el fortalecimiento del uso masivo de canales virtuales y banca en línea con las debidas seguridades Atentamente, Lcdo. Gastón Gagliardo Loor. Delegado de la Asamblea Nacional del Ecuador