III Jornadas sobre Derecho Policial Santander, marzo 2011 DELITOS INFORMATICOS. CONCEPTO.-

Transcripción

1 DELITOS INFORMATICOS. CONCEPTO.- En la última década se ha extendido y popularizado el término delito informático, adquiriendo una difusión mediática, literaria y académica, pero sin embargo no existe un concepto uniforme ni mucho menos legal, definitorio de su contenido. Refundiendo las definiciones elaboradas por numerosos autores de monografías y estudios sobre la materia, podemos concluir que el delito informático sería aquel ilícito penal que se lleva a cabo a través de medios informáticos y que está ligado a bienes jurídicos relacionados con las tecnologías de la información o que tiene como fin dichos bienes. Por tanto el ordenador (computadora como lo denominan los autores hispanos) es el elemento idiosincrásico que delimita el concepto, sirviendo como método, como medio o como fin de la actividad criminógena. SUJETOS.- Sujeto activo.- Los autores de dichos delitos presentan como denominador común tratarse de personas que tienen ciertas habilidades en el manejo de ordenadores. Con independencia de otras consideraciones de carácter sociológico (rechazo social frente a indiferencia por parte del colectivo social, despreocupación por la trascendencia de estos delitos) o de análisis psicológicos (perfil de los hackers, adicciones a redes sociales, proliferación de organizaciones criminales estructuradas alrededor de la red, etc..) tiene interés sustantivo el nivel de conocimientos y manejo sen ciertos supuestos específicos (difusión de contenidos pornográficos infantiles a través de los programas e-mule o Ares; cooperación necesaria frente a blanqueo imprudente en el phising). Sujeto pasivo.- Página 1 de 11

2 El aspecto más destacable es la multiplicidad de víctimas que pueden ocasionarse mediante ciertas conductas, sus diferentes ubicaciones, nacionalidades y situaciones, todo lo cual plantea problemas procesales (competencia y jurisdicción) y sustantivos (delitos frente faltas, continuidad delictiva, prescripción ), parte de los cuales serán tratados en la presente exposición. CONTENIDO.- Partiendo de una idea amplia hemos de diferenciar dos tipos de delitos informáticos: a.- En sentido estricto los propiamente delitos informáticos (, phsising hacking, tracking) b.- Los delitos tradicionales cometidos a través de la red (amenazas, injurias, estafas etc..) Por ello es prácticamente imposible establecer un bien jurídico protegido único (afectan a diferentes valores protegidos por el ordenamiento jurídico) y tampoco puede existir una clasificación sistemática en el Código Penal (capítulo o título referido a delitos informáticos). Atendiendo al concepto formulado al inicio podemos clasificar el contenido de los delitos informáticos de la siguiente forma: - Aquellos que utilizan el ordenador como método para llegar a un resultado ilícito. - Los que se sirven del mismo como medio para la consecución. - En último término, las acciones dirigidas contra la entidad física del propio ordenador o sistema informático. Debido a esa complejidad en su catalogación, la instrumentalización jurídica para integrarlos en el contexto punitivo ha sido variada: leyes especiales, introducción de nuevos tipos en el código penal, creación de subtipos específicos o por último incorporación al ordenamiento mediante la suscripción o ratificación de convenios internacionales. En el primer caso se encuentran algunos países como Francia, Estados Unidos, Chile o Venezuela que han elaborado leyes específicas para abordar el fenómeno de la ciberdelincuencia. La incorporación a un texto general se ha utilizado en España, Italia, Austria, Portugal y Argentina. En Alemania han conjugado ambos sistemas. Además existen algunos referentes de orden internacional cuyo mejor exponente es el Convenio sobre ciberdelincuencia de 1 de noviembre de 2001, firmado en Budapest y que entró en vigor el 1 de julio de 2004 integrándose en nuestro ordenamiento conforme a lo dispuesto en el título preliminar del Código Civil. En dicho convenio se propone la clasificación de los delitos informáticos e cuatro grupos: Página 2 de 11

3 a- Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos de sistemas informáticos. -acceso ilícito a sistemas informáticos. -interceptación ilícita de datos informáticos interferencia en el funcionamiento de sistemas informáticos -abuso de dispositivos que faciliten la comisión de delitos. b.- Delitos informáticos. -Falsificación informática mediante la introducción, borrado o supresión de datos. -Fraude informático mediante los mecanismos señalados o por interferencia en sistemas informáticos. c.- Delitos relacionados con el contenido. -Producción, oferta, difusión, adquisición de contenidos de pornografía infantil por medio de un sistema informático o posesión de dichos contenidos mediante su almacenamiento. d.- Delitos relacionados con infracciones de la propiedad intelectual y derechos afines. REGULACIÓN JURIDICA EN ESPAÑA. Tanto antes de la reforma de la L.O. 5/2010 de 22 de junio (cuya entrada en vigor se produjo el 23 diciembre) y que modificó el código penal español, como en la actualidad el legislador español ha optado por tipificar una serie de conductas e incluirlas dentro de dicho texto legal. Debido a la dispersión de bienes a tutelar no existe una rúbrica específica y por tanto los distintos delitos informáticos se encuentran desperdigados a lo largo del código sin vínculo de conexión entre ellos. Podemos incluir dentro de la categoría: -pornografía infantil. -espionaje informático -injurias y calumnias -robo utilizando sistemas de guarda criptográficos. -estafa informática. -ubicación abusiva de equipos de terminales de comunicación -sabotaje o daños informáticos. -propiedad industrial -propiedad intelectual -secretos de empresa. -uso ilegal de equipos, programas y servicios informáticos. -usurpación de funciones públicas mediante correo electrónico. -infidelidad en custodia de documentos. -revelación de secretos. Página 3 de 11

4 -ataques a bienes o instalaciones de telecomunicación o correspondencia. PRINCIPALES DELITOS INFORMATICOS EN NUESTRO CODIGO PENAL. 1.-PORNOGRAFIA INFANTIL. El actual artículo 189, recogiendo la jurisprudencia del Tribunal Supremo diferencia nítidamente tres tipos de conducta delictiva: a.- Captar o utilizar a menores de edad para que participen espectáculos exhibicionista o pornográficos de carácter público o privado o para elaborar cualquier clase de material pornográfico. b.- Producir, vender, distribuir, exhibir, ofrecer o facilitar la venta, difusión exhibición, así como poseer con dicha finalidad material pornográfico en cuya elaboración hayan sido utilizados menores. c.- Poseer para su propio uso material pornográfico de estas características. Queda pendiente de interpretación judicial la utilización de los programas de descargas que a su vez difunden automáticamente el contenido a otros usuarios conectados. De conformidad con la jurisprudencia fijada por el Pleno del Tribunal Supremo, habrá que atender y valorar las siguientes circunstancias: Números de archivos ocupados, medios utilizados en su almacenamiento, utilización de sistemas que dificulten su localización, historial de programas que puedan revelar el ánimo pedófilo ( criterios de búsquedas, acceso a chatas, participación en foros etc ), de forma que analizando estos datos periféricos se deduzca si el designio es exclusivamente poseer el material o si por el contrario se trata de un sujeto que comparten, difunden o incluso se lucran con el mismo. 2.- ABUSO SEXUAL CON MENORES. Se ha introducido un nuevo artículo. El 183 (bis). El que a través de internet, del teléfono o de cualquier otra tecnología de la información y la comunicación contacte con un menor de trece años y proponga concertar encuentros con el mismo a fin de cometer cualquier delito de las artículos 178 a 189, siempre que tal propuesta se acompañe de actos encaminados al acercamiento, será castigado con la pena de uno a tres años de prisión o multa de 12 a 24 meses sin perjuicio de las penas correspondientes a los delitos en su caso cometidos. Se tipifica por tanto las conductas de los buscones de la red tan comentadas en los medios informativos eligiendo un tipo de riesgo concreto en el que se castiga la acción sin producir resultado pero se exige siempre que incluya una conducta activa inequívoca para la obtención del fin perverso. 3.- ESTAFA INFORMATICA. Página 4 de 11

5 Artículo 248/2.- También se consideran reos de estafa: a.- Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro. b.- Los que fabricaren, introdujeran, poseyeran o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo. c.- Los que utilizando tarjetas de crédito o débito o cheques de viaje o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o tercero. Se describe por tanto el denominado phising resultando aplicable la jurisprudencial del Tribunal Supremo que cataloga como cooperador necesario al transportista mulero reclutado por la red que previamente ha obtenido ha obtenido las claves de acceso a las cuentas y se sirve del mismo para la transferencia del dinero. HACKING. (Artículo 197). Además de mantener los tipos ya recogidos por el código anteriormente relativos al descubrimiento de secretos mediante la interceptación de comunicaciones, correos, o datos registrados en ficheros informáticos, electrónicos o telemáticos, incorpora un tercer párrafo para introducir el denominado hacking blanco consistente en el mero acceso inconsentido a informaciones contenidas en fichares o programas y también el acceso a webs ajenas, sin otra ulterior acción penalizándolo con pena de prisión desde 6 meses hasta 2 años. Continúa, aunque reformado para agravar la pena el subtipo de la ulterior revelación de los datos o imágenes obtenidos ilegalmente. CRACKING. (Artículo 264). 1.- El que por cualquier medio, sin autorización y de manera grave, borrase, dañase, alterase, suprimiese o hiciese inaccesibles los datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado sea grave. 2.-El que por cualquier medio, sin estar autorizado y de manera grave obstaculizare o interrumpiera el funcionamiento de un sistema informático ajeno introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado fuera grave. Tras la reforma la tipificación del daño informático se perfila más nítidamente, pretendiendo incluir todo tipo de acciones nocivas y además se fija una cuantía indeterminada (no los 400 euros clásicos del delito de daños) adjetivada como grave. ESPIONAJE INDUSTRIAL. Página 5 de 11

6 No se ha reformado el artículo 278 que integra ambas figuras (hacking y tracking) Ya que se penaliza respectivamente la obtención o apoderamiento de secretos de empresa, difusión o revelación de los mismo así como los daños ocasionados que se compatibilizan entre sí posibilitando por tanto la concurrencia de dos delitos. INJURIAS Y CALUMNIAS. No existe un tipo ni mención específica, ya que ambos delitos tienen un carácter genérico y hay que incardinarlos en el artículo 211 (injurias o calumnias con PROPIEDAD INDUSTRIAL E INTELECTUAL. En el artículo 270 se protegen las obras literarias, artísticas científicas y los programas informáticos para evitar su plagio, copia o ulterior distribución. En el artículo 273 la tutela se efectúa sobre patente, modelos de utilidad, dibujos industriales o artísticos, signos distintivos y marcas. Tras al reforma se ha rebajado la sanción punitiva para comportamientos de menor trascendencia (top manta) expresándose en la exposición de motivos de la ley que en los casos de conductas consistentes en la venta a pequeña escala de copias fraudulentas se había evidenciado una quiebra del principio de proporcionalidad entre las acciones y las penas a imponer. Por ello se han introducido dos reformas: Los artículos 27071º y 274/2º posibilitan, que atendiendo a las características del culpable, la reducida cuantía del beneficio económico obtenido y siempre que se trate de supuestos de distribución al por menor, el juez rebaje la pena a prisión de 3 a 6 meses de prisión o a trabajos en beneficio de la comunidad. Igualmente en los casos en los que el beneficio obtenido no rebase los 400 euros, se degrada la infracción, siendo constitutiva de falta. CUESTIONES PROCESALES.- Las particularidades expuestas anteriormente (el ordenador como elemento principal en la comisión del delito, la pluralidad de sujetos pasivos que pueden verse afectado, la movilidad geográfica y nacional de los sujetos activos, la complejidad de las acciones llevada a cabo) suponen la creación de una serie de complicaciones procesales arduas y de difícil solución para poder adaptar las normas jurídicas a la realidad de los acontecimientos delictivos. A continuación expondremos las más relevantes, prescindiendo de otras muchas (jurisdicción universa frente a territorialidad, competencial multinacionales etc..) que por si solas bien pueden analizarse en otras ponencias. Página 6 de 11

7 1.- COMPETENCIA TERRITORIAL.- Se plantea el problema debido a que el lugar donde se comete el delito es múltiple y a que los autores suelen tener itinerante. El Tribunal Supremo ha resuelto la cuestión con el denominado principio de la ubicuidad: el delito se comete en todas las jurisdicciones en la que se haya perfeccionado algún elemento del tipo y por tanto el juez de cualquiera de ellas que antes hubiera iniciado las actuaciones será el competente para su instrucción, si bien dicha regla lo que determina es el conocimiento inicial del asunto que después, a medida que se investigue y se determine el lugar donde se desarrolla la conducta, lo que procederá es testimoniar las actuaciones, inhibirse y remitirlas al juzgado oportuno. 2.- INSTRUMENTOS PROCESALES NECESARIOS PARA LA INVESTIGACIÓN Ya hemos señalado que un elemento definitorio de estos delitos en la existencia del ordenador, lo cual implica una serie de cuestiones obvias: va a contener información privada, va a servir para emitir y recibir comunicaciones y va a ser utilizado en muchas ocasiones desde dependencias de domicilios, empresas u tros ámbitos de privacidad y por tanto se puede originar la posible colisión entre la necesidad de investigar el delito con la protección de los derechos fundamentales de las personas constitucionalmente garantizados: derecho a la protección de datos personales, derecho a la intimidad, derecho a la propia imagen, derecho al secreto de las comunicaciones y derecho a la inviolabilidad del domicilio. Por tanto es necesario calibrar adecuadamente y saber los actos que pueden ejecutarse directamente por los agentes investigadores frente a aquellos otros en los que se requiere una resolución judicial que autorice, supervise y controle su ejecución. A continuación analizaremos algunos supuestos típicos que acontecen en la investigación de delitos informáticos: a.- rastreos en la red. Una de las modalidades de investigación de los delitos relativos a la pornografía infantil consiste en la creación por los agentes investigadores de una base de datos con archivos de fotografías y vídeos identificados con su número hash para obtener los listados de IP (claves de protocolo para acceso a los proveedores de servicios de internet) e identificar así los números telefónicos desde los que se conecta el ordenador y efectúa la descarga del archivo. El Tribunal supremo ha declarado su licitud ya que dichos datos no son secretos puesto que el partícipe de la comunicación los aporta voluntariamente al integrarse en la red y no conectan personas sino el ordenado utilizado, sin que se vulnere por tanto el derecho al secreto de las comunicaciones ni el derecho a la intimidad personal. b.- identificación de usuarios. Página 7 de 11

8 Consiste en solicitar de las compañías operadoras de telecomunicaciones los datos y circunstancias personales del titular del ordenador. Con anterioridad a la ley 25/07 de 18 de octubre, dictada en desarrollo de la Directiva de la Unión Europea nº24/06, cabía la posibilidad de ser solicitados directamente por los investigadores, pero en la actualidad de conformidad con los artículos 3ºy 6º de la misma y tras el Pleno de la Sala 2ª del Tribunal Supremo de 23 de febrero de 2010, es absolutamente necesaria autorización judicial para que dichas empresas cedan los datos generados o tratados con tal motivo. Por tanto se precisa elaborar un oficio recogiendo los antecedentes de la operación, los ips obtenidos con los archivos presuntamente descargados y que el juez dicte auto razonado expidiendo los mandamientos oportunos. c.- entradas y registros. En la mayoría de los delitos informáticos va a ser necesario requisar el ordenador desde el que se está cometiendo el delito y por tanto entrar y registrar el lugar donde se encuentra instalado. Está claro que si se trata de domicilios particulares es necesaria autorización judicial. Tratándose de empresas en principio no sería exigible ya que no afecta a la inviolabilidad domiciliaria puesto que el despliegue de actividad es de carácter mercantil y no de vida íntima o familiar, pero sin embargo como puede afectar al derecho a la privacidad del usuario del ordenador (por el contenido del propio aparato) y a datos relativos a terceros que mantienen contactos con el mismo, es también aconsejables servirse de la oportuna autorización judicial. Lo mismo sucederá en registros en despachos profesionales y dependencias d administraciones públicas. d.- visualización y creación de archivo. Una vez localizados los ordenadores sospechosos, lógicamente es necesario iniciar la conexión ver su contenido aparente (pantallazo). Se trata de de una diligencia meramente instrumental, de inspección que se efectuará ante el secretario judicial que acuda al registro creándose un archivo en word, en el que se ha de recoger el contenido del ordenador que pueda apreciar sin necesidad de ulteriores aperturas, manifestando se existe correspondencia o archivos privados que hayan de aperturarse posteriormente. E.-apertura posterior de soportes. Además del contenido inicial reflejado en el acta pueden existir otros elementos: archivos en el disco duro, discos externos, dvd, cd, etc. Todos estos almacenamientos no tienen categoría de correspondencia privada y por tanto se reflejará su ocupación en el acta del registro y posteriormente cabe su apertura por los agentes de policía científica sin necesaria presencia judicial para la práctica de dicha diligencia. Página 8 de 11

9 También conveniente, para evitar pérdidas o borrados fortuitos, efectuar copia de seguridad haciendo constar dicha circunstancia. f.- apertura de correos electrónicos. La correspondencia ya abierta o la enviada por investigado al carecer de contenido secreto no se ha de considerar como información protegida y por tanto se transforma en prueba documental cuando se refleja en el atestado su contenido. Tampoco existe protección sobre los denominado datos de tráfico (número o clave de identificación, remitente, remisor duración, fecha, hora y finalización de la comunicación etc. Lo que si estará constitucionalmente amparado será el contenido sustantivo de las comunicaciones no conocidas por el destinatario (correos no abiertos) y por ello para su apertura será necesaria la presencia judicial (igual que en cartas, documentos, o papeles) así como la presencia del imputado salvo que se encuentre en paradero desconocido o no quiera asistir (siempre si se encuentra detenido o preso) g.- autopinchazo (bugging) Al tratarse de comunicaciones sostenidas por el propio usuario no existe protección y tampoco obviamente se necesita autorización pero no tendrán validez como mecanismo de investigación cuando se trate de delito provocado o proceda del ejercicio de mala fe o maniobra fraudulenta (cámaras espías de periodistas). h.- programas espías. La utilización de programas espías introducidos en el ámbito familiar o empresarial (padres a hijos, entre esposos o de patronos a trabajadores) para averiguar presuntos hechos delictivos o simplemente otro tipo de conductas personales (amistades, relaciones sexuales etc..) no sirven como prueba lícita según reiterada jurisprudencia, ya que los derechos fundamentales de protección de la intimidad y el secreto de comunicaciones, tienen un carácter individual y prevalecen sobre otras consideraciones, siendo además constitutivas de un acto delictivo agravado se además se les da publicidad pretendiendo incorporarlas a un pleito. i.- comunicaciones mediante redes sociales Todos los textos enviados por chats están exentos de protección ya que es el propio usuario el que los remite y no cabe tampoco ampararse en la existencia de privados ya que al servirse de una red es conciente de la posibilidad de interferencias en dicha privacidad (administrador, nichs falsos, hackers, baneados etc ) Página 9 de 11

10 LEGISLACION FRENTE A DESCARGAS ILICITAS. La existencia de internet también ha posibilitado la creación de páginas de contendidos nocivos o peligrosos y ello ha obligado a articular mecanismos de defensa por parte del Estado para posibilitar el cierre de dichas páginas para tutelar tanto intereses públicos (lugares donde se efectúa apología terrorista) como otros de carácter privado (páginas donde se vierten insultos o vejaciones a personas determinadas), elaborándose la Ley 34/2002 de 11 de julio sobre Servicios de la sociedad de información, que enmarcada dentro del derecho administrativo sancionador (no nos encontramos dentro de actuaciones penales sino en una actividad de policía administrativa) se posibilita la clausura, condicionada a la posible revisión del acto administrativo en vía jurisdiccional contencioso administrativa. Para el caso de contenidos delictivos cabe también el cierre al amparo del artículo 13 de la Ley de Enjuiciamiento Criminal. En los supuestos de simple contenido nocivo el problema consiste en determinar el alcance de dicho término ya que en principio resulta difuso o indeterminado.en principio podemos decir que resulta inconveniente para el desarrollo de la personalidad de los integrantes de una sociedad democrática, ofensivo para alguno de sus integrantes o atentatorio contra la seguridad y el orden público. El debate actual se ha suscitado sobre la necesidad de incorporar dentro de éste régimen a las páginas webs de enlace que posibilitan el acceso a servidores controlados por terceros ajenos a los titulares de la página y desde los cuales utilizando un programa instalado en el pc se bajan películas, series, música, relatos etc.., lo cual afecta a los derechos de autor protegidos por la ley de propiedad intelectual. Inicialmente se intentó su inclusión como delictiva y por parte de ciertas asociaciones de defensa de la industria cinematográfica y productoras musicales se interpusieron querellas criminales, que sin embargo fueron desestimadas absolviendo a los titulares de las páginas. Por eso ahora se ha acudido a la fórmula de acudir al amparo del derecho administrativo de forma que se introduce como una función más de esta ley la salvaguarda de los derechos de propiedad intelectual. El mecanismo de protección se inicia por parte de una comisión integrada por el subsecretario del Ministerio de Cultura junto con otros tres vocales de los Ministerios de Industria, Economía y Presidencia, que requerirán al prestador de servicios para que retire los contendidos o formule alegaciones y prueba dando lugar entonces a la tramitación de un expediente contradictorio. Posteriormente si se desestima los argumentos esgrimidos, se solicitará a los Juzgados Centrales de lo Contencioso autorización para el cierre o interrupción del servicio. La autorización judicial también requiere una vista contradictoria en la que participa el Ministerio Fiscal, los titulares de derechos afectados y el representante de la administración. El juez central dictará auto admitiendo o denegando la pretensión y dicha resolución es susceptible de apelación ante la Sala de lo contencioso de la Audiencia Nacional. Página 10 de 11

11 Fdo. JESUS ALAÑA Página 11 de 11