UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA
La Universidad Católica de Loja
ÁREA SOCIO HUMANÍSTICA
TÍTULO DE ESPECIALISTA EN DERECHO PROCESAL PENAL
Teoría del Caso de los delitos que afectan a las instituciones del sistema
financiero, cometidos a través de medios informáticos y electrónicos
TRABAJO DE FIN DE TITULACIÓN.
AUTOR: Sempértegui Fernández, Luis Fernando
DIRECTOR: Torres Regalado, Enrique Tiberio, Dr.
CENTRO UNIVERSITARIO QUITO
APROBACIÓN DEL DIRECTOR DEL TRABAJO DE FIN DE ESPECIALISTA
Doctor
Enrique Tiberio Torres Regalado
DOCENTE DE LATITULACIÓN
De mi consideración:
El presente trabajo de fin de especialista denominado: “Teoría del Caso de los delitos que afectan a las instituciones del sistema financiero, cometidos a través de medios informáticos y electrónicos”, realizado por Luis Fernando Sempértegui Fernández, ha sido orientado y revisado durante su ejecución, por cuanto se aprueba la presentación del mismo.
Azogues, abril del 2015.
f)………..
DECLARACIÓN DE AUTORÍA Y CESIÓN DE DERECHOS
Yo, Luis Fernando Sempértegui Fernández, declaro ser autor del presente trabajo de fin de especialidad: “Teoría del Caso de los delitos que afectan a las instituciones del sistema financiero, cometidos a través de medios informáticos y electrónicos”, de la Titulación Especialidad en Derecho Procesal Penal, siendo el Doctor Enrique Tiberio Torres Regalado director del presente trabajo; y, eximo expresamente a la Universidad Técnica Particular de Loja y a sus representantes legales de posibles reclamos o acciones legales. Además certifico que las ideas, conceptos, procedimientos y resultados vertidos en el presente trabajo investigativo, son de mi exclusiva responsabilidad.
Adicionalmente, declaro conocer y aceptar la disposición del Art. 88 del Estatuto Orgánico de la Universidad Técnica Particular de Loja que en su parte pertinente textualmente dice: “Forman parte del patrimonio de la Universidad la propiedad intelectual de investigaciones, trabajos científicos o técnicos y tesis de grado que se realicen con el apoyo financiero, académico o institucional (operativo) de la Universidad”.
f)……….. Autor: Luis Fernando Sempértegui Fernández. Cédula: 171124800-3
AGRADECIMIENTO
Mi eterna gratitud a quienes me han apoyado en esta etapa decisiva de crecimiento, en mi formación personal y profesional: mis padres, mi hermano, mi familia. También agradezco a todos aquellos seres queridos que son y seguirán siendo para mí, un ejemplo permanente de bondad, de virtud y de coraje frente a la adversidad: mi hermana y mis abuelos, siempre presentes en mi corazón.
DEDICATORIA
La presente tesina representa una culminación madura de una etapa laboral y de arduo estudio, dedicado a la construcción de estructuras para buenas prácticas bancarias, por lo que me permito dedicar esta pequeña obra, a la sociedad ecuatoriana, como un aporte en la búsqueda de la mejor comprensión de las nuevas tecnologías que caracterizan las operaciones del sistema financiero nacional en relación a sus clientes, y el tratamiento que debe darse a las mismas, para identificar y prevenir los delitos que se cometen a través de medios informáticos y electrónicos.
ÍNDICE DE CONTENIDOS
Página
Carátula
Aprobación del Director del Trabajo de Fin de Especialidad
Declaración de autoría y cesión de derechos
i ii iii
Agradecimiento iv
Dedicatoria v
Índice de contenidos vi
RESUMEN ABSTRACT
1 2
INTRODUCCIÓN 3
CAPÍTULO I: DELITOS INFORMÁTICOS PERPETRADOS A TRAVÉS DE
SISTEMAS INFORMÁTICOS Y ELECTRÓNICOS 5
1.- Definición de delito informático 6
2.- Clasificación de los delitos informáticos 8
3.- Problemas especiales en la persecución de los delitos informáticos 16
CAPÍTULO II: DELITOS INFORMÁTICOS Y ELECTRÓNICOS QUE AFECTAN A LAS INSTITUCIONES DEL SISTEMA FINANCIERO, ESTABLECIDAS EN EL
NUEVO CÓDIGO ORGÁNICO INTEGRAL PENAL 17
1.- El nuevo Código Orgánico Integral Penal y la doctrina final de la acción 18
2.- Los delitos patrimoniales e informáticos en el nuevo Código Orgánico Integral
Penal con relación al ámbito bancario 19
2.1. Delitos patrimoniales que se cometen por medios informáticos 19
2.2. Delitos informáticos y electrónicos que afectan a los clientes, actividades y
productos del sistema financiero 21
CAPÍTULO III: TEORÍA DEL CASO DE LOS DELITOS INFORMÁTICOS Y ELECTRÓNICOS QUE AFECTAN A LAS INSTITUCIONES DEL SISTEMA FINANCIERO
29
1.- ¿Qué es la teoría del caso? 30
2.- Componentes o elementos de la teoría del caso 31
Página
2.2. Elemento fáctico 31
2.1. Elemento probatorio 32
2.3. Elemento jurídico 32
3.- Desarrollo de la teoría del caso, en dos (2) ejemplos prácticos aplicados al sistema bancario, de delitos cometidos a través de medios informáticos y electrónicos, desde las perspectivas estratégicas de la Fiscalía y de la defensa del
procesado. 33
N° 1: Teoría del caso de la Fiscalía 33
N° 2: Teoría del caso de la defensa del procesado 43
CAPÍTULO IV: CADENA DE CUSTODIA EN LOS DELITOS INFORMÁTICOS Y ELECTRÓNICOS QUE AFECTAN A LAS INSTITUCIONES DEL SISTEMA
FINANCIERO 54
1.- ¿Qué es la cadena de custodia? 55
2.- Evidencia digital y sus diferencias con la prueba documental 56
3.- Proceso de cadena de custodia de las evidencias o indicios de los delitos informáticos y electrónicos que afectan al sistema bancario ecuatoriano.
3.1. Conservación de la evidencia informática
3.2. Conservación de la evidencia de medios electrónicos
58 59 61
CONCLUSIONES 63
RECOMENDACIONES
BIBLIOGRAFÍA
67
71
1 RESUMEN
En la presente investigación se realiza un análisis teórico práctico, a la luz del nuevo Código Orgánico Integral Penal, de los escenarios del delito informático y del delito electrónico. El lugar de los hechos en los delitos de apropiación ilícita por medios informáticos es un escenario virtual en donde destaca el punto o lugar de origen de los ataques, el uso de computadores o servidores informáticos para efectos de perpetrar el delito, y las cuentas de los clientes de los bancos como destino de los ataques. Así mismo, en los delitos que se consuman atacando canales electrónicos, se instalan aparatos conocidos como skimmer. Estos aparatos copian los datos e información de los clientes cuando utilizan sus tarjetas de débito o crédito, falsificando posteriormente la identidad electrónica del usuario y clonando su tarjeta para retirar fondos de su cuenta.
Esta investigación describe y evalúa los mejores métodos y estrategias de construcción de una Teoría del Caso; esquema fáctico, probatorio y jurídico que permite litigar con eficacia, tanto al abogado defensor (público o privado) como a la Fiscalía, en materia de delitos informáticos y electrónicos.
PALABRAS CLAVES: Teoría del Caso, apropiación ilícita, skimming, escenario virtual,
2 ABSTRACT
The present research carries out a theoretical/practical analysis of cybercrime and
electronic crime; analysis based on the new Ecuadorian “Integral Penalty Law Code”.
These felonies of misappropriation take place in a virtual environment, where the
following elements are considered as important: the place where the attacks are
originated, the use of computers or computer servers to perform the crime, and the
bank accounts which are targets of these attacks. Likewise, in felonies achieved by
attacking electronic devices, criminals use a gadget known as the “
skimmer”.
This
gadget copies the clients’ information when a credit or debit card is used.
Subsequently, the criminals clone these cards and then falsify the electronic identity
of the users in order to withdraw funds from their accounts.
This research describes and evaluates the best methods and strategies to ensemble
a Case Theory; a factual, probative and legal scheme that allows both the attorney
(public or private) and the prosecutor, to litigate efficiently on cybercrimes and
electronic crimes.
3
INTRODUCCIÓN
Los delitos perpetrados a través de sistemas informáticos, canales y dispositivos electrónicos, son muy comunes en la actualidad. Este tipo de infracciones afectan de manera grave a los clientes e instituciones del sistema financiero nacional privado y constituyen un tipo de delincuencia especial, suscitada en un escenario distinto al de otros ilícitos (se desenvuelve a través de redes y canales informáticos o electrónicos). La finalidad de estos delitos es la apropiación ilícita de los dineros que han sido confiados por la ciudadanía a los bancos, afectando a su patrimonio, y, minando a su vez, la confianza que el público tiene puesta en el sistema bancario.
La Teoría del Caso en el contexto del nuevo Código Orgánico Penal Integral (COIP) hace posible determinar con eficacia los elementos con los cuales debe contar la Fiscalía para poder establecer, desde los puntos de vista jurídico, fáctico y probatorio, la sustentación de la materialidad del delito cometido, y la responsabilidad o imputabilidad a los responsables del ilícito; elementos que exige la ley penal para que se dicte sentencia que declare la culpabilidad y se aplique la correspondiente pena.
Este tema tiene relevancia en la sociedad, por lo que su estudio contribuye a establecer una estrategia de apoyo al combate de los delitos contra el patrimonio perpetrados por medios informáticos y electrónicos. Muchas veces, la falta de conservación del elemento probatorio en este tipo de infracciones, genera que la Fiscalía se vea disminuida en cuanto a su intervención en las distintas fases del proceso penal, y que muchos casos se desestimen o archiven por causa de una incorrecta conducción de la investigación penal de este tipo de delitos.
4
Los elementos constitutivos de materialidad que generan los tipos penales correspondientes a los delitos patrimoniales que se cometen a través de medios informáticos y electrónicos que afectan a los clientes de las instituciones del sistema financiero nacional, configuran una nueva forma de perpetrar el delito, a través de la eliminación de la identidad real del delincuente informático, cuya volición en busca de un resultado dañoso, se verifica en la utilización de elementos empleados para violentar las seguridades informáticas y electrónicas de los productos bancarios que utilizan los clientes de las instituciones del sistema financiero nacional. La IP (Internet Protocol) y las redes informáticas, constituyen el nuevo escenario en el cual se debe determinar científicamente, cuáles son los mecanismos que permiten realizar la consumación de los tipos penales correspondientes a los delitos de estafa electrónica, apropiación ilícita por medios informáticos y, los delitos que se cometen contra la seguridad de los activos de los sistemas de información y comunicación. El conocimiento pericial es vital para el diagnóstico de la existencia de estos delitos y la determinación de sus posibles responsables.
Otro tema de singular interés para el sistema de justicia ecuatoriano, es el correcto uso de la cadena de custodia, y, la obtención, conservación y almacenamiento adecuado de los elementos probatorios, tanto en delitos que utilizan el software como medio o finalidad, así como en los delitos en que se utilizan o se afectan los medios electrónicos, especialmente en los ilícitos que afectan a los clientes de las instituciones del sistema financiero nacional.
CAPÍTULO I
6 1.- Definición de delito informático
El tratadista Luis Azaola Calderón1 diferencia aquellos delitos que se cometen en contra del
software y en contra del hardware de un computador, respecto de los delitos ejecutados contra la memoria de los ordenadores. Los actos de agresión en contra de los elementos materiales del sistema computacional, constituyen daños contra la propiedad, mientras que los delitos que son perpetrados en contra del software, afectan financieramente en particular a las empresas que son dueñas de los programas informáticos. Finalmente, los delitos en contra de los datos que reposan en la memoria de un computador, afectan patrimonialmente a las personas.
No comparto con el citado autor la relevancia discreta que le presta a los delitos que se cometen por vía internet, la cual la refiere al atentado en contra de sistemas informáticos gubernamentales. En la actualidad, y particularmente en el Ecuador, el internet y las plataformas informáticas han servido como base de la comisión de infracciones “a distancia”,
dándole un carácter internacional a la extracción ilícita de fondos de clientes de las instituciones del sistema financiero nacional.
El cibercrimen se ha convertido en una modalidad usual de atentado en contra de los dineros de personas y empresas, siempre buscando las maneras de quebrar las seguridades y sistemas de protección que los bancos y otras instituciones financieras implementan para ofrecer una correcta custodia de estos fondos de sus clientes. Es el delincuente sin rostro el que aparece en escena en estos delitos, en los cuales apenas asoma la cara visible de un primer beneficiario (generalmente se trata de quien recibe el dinero como producto de la transacción fraudulenta en su cuenta bancaria), dudoso testaferro de quienes a nivel internacional manejan y promueven las raíces del crimen informático.
Otro tipo de análisis es el que realiza Juan Carlos Riofrío Martínez-Villalba2, quien establece
diferencia entre aquellos medios informáticos que constituyen documentos (información de
carácter “virtual”, soportada dentro de un medio físico como un disco duro o servidor, que
1
Azaola Calderón, Luis. (2010). Delitos Informáticos y Derecho Penal (pp. 21-22). México: Ubijús.
2 Riofrío Martínez Villalba, Juan Carlos. (2004).
7
tiene carácter documental), frente a la información de escritura que podría generarse, por ejemplo, cuando existe error en el sistema informático, o bien frente al hardware, que es la parte física del computador. Este tratadista deduce qué tipo de evidencia informática puede constituir prueba o elemento de convicción dentro de juicio: “Los documentos informáticos que cumplen la función del docere3, son verdaderos documentos. Al ser documentos son naturalmente aptos para arrojarle algún grado de evidencia al juzgador, y por consiguiente, finalmente pueden llegar a constituirse como medio de prueba dentro del proceso”. (Riofrío, 2004, p.34).
En la realidad jurídica ecuatoriana, el modo en que se prueba un delito informático cometido en contra de clientes de una institución del sistema financiero, es, normalmente, a través de una pericia informática o electrónica de extracción de los datos de las transacciones calificadas como ilícitas o no autorizadas; de igual manera, en el caso de alteraciones y manipulación de cajeros automáticos, se realiza la experticia electrónica que demuestra la alteración de la máquina conocida como Automatic Teller Machine (en adelante ATM o cajero automático), de su teclado, dispensador y dispositivo electrónico de lectura de tarjetas, pudiendo llegarse a detectar la instalación de diversos dispositivos de filmado y copiado de claves electrónicas, o de extracción o alteración de los datos que descansan en los discos duros de estas máquinas.
El mismo Juan Carlos Riofrío, citando a Feldman y Kohn4, explica que es necesario adoptar
las siguientes medidas para recolectar y conservar la información electrónica:
a) Informar cuanto antes a quienes tengan el control de las computadoras que contienen
evidencia informática de ella, para que procuren no borrarla;
b) Realizar con alguna frecuencia backups (copias de los programas) en soportes duros,
como cintas magnéticas, discos compactos u ópticos de una sola grabación, etc.;
c) Recolectar los datos en una inspección informática, y de ser posible, agendas electrónicas y correos electrónicos que suelen contener copias de información borrada;
3
Juan Carlos Riofrío se refiere con docere, a los elementos intelectuales de un documento que expresan la intencionalidad y la expresividad de su autor. Los otros elementos, según la clasificación del tratadista Núñez Lagos a quien cita este autor, son los pertenecientes al corpus y corresponden al soporte material y a la grafía.
4
8
d) Preguntar a todos los testigos sobre el uso que le daban a las computadoras las personas que las tenían bajo su control;
e) Sacar imágenes lógicas del disco duro con relativa frecuencia, para poder reconstruir más
fácilmente la información borrada;
f) Preservar y custodiar los equipos electrónicos, de tal manera que la información no pueda ser alterada; y,
g) Contratar a un experto para que descubra la mayor cantidad de evidencia posible.
En cuanto se refiere a las transacciones de clientes de las instituciones del sistema financiero ecuatoriano, la conservación de los logs o registros históricos de estas operaciones, es fundamental al momento de determinar técnicamente, si el origen y destino de las transacciones bancarias tuvo un proceder fraudulento. Las direcciones IP (Internet
Protocol) que se lleguen a detectar en el análisis técnico informático, son indispensables para conocer si el delito fue perpetrado a nivel nacional o en el exterior; sin perjuicio de señalar que el primer presunto sospechoso de la infracción es aquel sujeto beneficiario de los dineros transferidos vía Internet, desde la cuenta de un cliente bancario, sin su conocimiento, consentimiento, ni acción alguna de su parte.
2.- Clasificación de los delitos informáticos
El Décimo Congreso de las Naciones Unidas sobre Prevención del Delito y Tratamiento del Delincuente, llevado a cabo en Viena, del 10 al 17 de abril del 2014, estableció la existencia de dos subcategorías de delitos cibernéticos:
a) Delito cibernético en sentido estricto (“delito informático”): Todo
comportamiento ilícito que se valga de operaciones electrónicas para atentar contra la seguridad de los sistemas informáticos y los datos procesados por ellos; y,
b) Delito cibernético en sentido lato (“delito relacionado con computadoras”):
9
Analizando la clasificación establecida por la ONU y siguiendo al jurista Diego Salamea Carpio5, tenemos como resultado la siguiente clasificación de tipos de delitos informáticos:
a) Fraudes cometidos mediante manipulación de computadoras
Manipulación de los datos de entrada: Este tipo de fraude informático conocido
también como sustracción de datos, representa el delito informático más común ya que es más fácil de cometer y difícil de descubrir. Este delito no requiere de conocimientos técnicos concretos de informática y puede realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos.
Manipulación de programas: Es muy difícil de descubrir y a menudo pasa
inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos de informática. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un método común utilizado por las personas que tienen conocimientos especializados en programación informática es el denominado “caballo de Troya”, que consiste en insertar instrucciones de computadora de forma encubierta en un programa informático para que pueda realizar una función no autorizada al mismo tiempo que su función normal. Un virus troyano ingresa en el sistema informático de un computador de forma aparentemente inofensiva (por ejemplo a través de un archivo adjunto en un mensaje recibido mediante correo electrónico) y una vez en el sistema del destinatario se activa y se convierte en una herramienta que, desde adentro, abre todas las puertas para que el atacante pueda tomar control total del sistema.
Manipulación de los datos de salida: Se efectúa fijando dispositivos extraños al
funcionamiento de un sistema informático. El ejemplo más común es el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos. Tradicionalmente estos fraudes se realizan a tarjetas bancarias robadas; sin embargo, actualmente se usan ampliamente equipos y programas de computadora
5
10
especializados para codificar información electrónica falsificada en las bandas magnéticas de las tarjetas de débito y de las tarjetas de crédito.
Fraude efectuado por manipulación informática: Aprovecha las repeticiones
automáticas de los procesos de cómputo. Es una técnica especializada mediante la cual se debitan cantidades muy pequeñas de dinero de una cuenta, transfiriéndose a
otra. Este tipo de fraude se conoce en la legislación alemana como como “estafa informática”, diferenciándose del tipo penal básico de la estafa, por la utilización de la tecnología informática que produce el perjuicio económico a través de la sustitución falsa de la conducta del titular del derecho; sin embargo, al igual que el tipo básico de la estafa, requiere para su consumación de la producción del daño patrimonial, cualquiera sea la modalidad que asuma la interferencia con los códigos, instrucciones y programas.
Diego Salamea Carpio6, citando a los tratadistas Gabaldón y Becerra, dice: “A diferencia de la delincuencia convencional, donde la aproximación física y la fragmentación temporal son
fundamentales, mediante estas tecnologías se genera un entorno de ejecución sin
desplazamiento físico del delincuente y mediante condensación temporal e, inclusive, simultáneamente”.
b) Falsificaciones informáticas
Como objeto: Cuando se alteran datos de los documentos almacenados en forma
computarizada.
Como instrumentos: Los computadores pueden utilizarse también para efectuar
falsificaciones de documentos de uso comercial. Cuando empezó a disponerse de fotocopiadoras computarizadas en color a base de rayos láser surgió una nueva generación de falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras pueden hacer copias de alta resolución, modificar documentos e incluso pueden crear documentos falsos sin tener que recurrir a un original, y los documentos que producen, son de tal calidad que solo un experto puede diferenciarlos de los documentos auténticos.
6 Salamea Carpio, Diego,
11
c) Daños o modificaciones de programas o datos computarizados
Sabotaje informático: es el acto de borrar, suprimir o modificar sin autorización,
funciones o datos de computadora con intención de obstaculizar el funcionamiento normal del sistema. Las técnicas que permiten cometer sabotajes informáticos son:
1) Virus: Son una serie de programas en clave, codificados, que pueden
adherirse a programas legítimos y propagarse de esta manera en la memoria y otros sistemas informáticos. Un virus puede ingresar en un sistema por conducto de una pieza legítima de soporte lógico que ha quedado infectada, así como utilizando el método del Caballo de Troya. También se trata de programas con la capacidad de transmitirse entre computadores y redes, generalmente sin conocimiento de los usuarios. Los virus pueden tener indeseables efectos secundarios, desde el molestar con absurdos mensajes, hasta llegar a borrar todo el contenido del disco duro del computador o alterar completamente las funciones de la memoria en la cual se cargan los programas.
2) Gusanos: Son programas fabricados en forma similar a los virus que pueden
introducirse en programas legítimos con la finalidad de infectar sistemas de datos para destruirlos, pero con la diferencia que no pueden regenerarse como los virus.
3) Bombas lógicas: Son programas destructivos de los sistemas de datos que
se programan para “explotar” o ejecutarse en un período de tiempo futuro
para causar el mayor daño posible. La programación futura de este tipo de programas dificulta mucho la posibilidad de ubicar a la persona o personas que infectan los sistemas con esta clase de mecanismos.
4) Acceso no autorizados a sistemas o servicios: El quebrantamiento de las
12
intelectual para una persona conocedora del tema informático, hasta el auténtico sabotaje o espionaje informático.
5) Piratas informáticos: El acceso informático se efectúa desde lugares
remotos de las redes informáticas. Los piratas informáticos se hacen pasar por usuarios legítimos del sistema. Esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseñas comunes o contraseñas de mantenimiento que están en el propio sistema. Con estos mecanismos los ciber delincuentes pueden acceder a la información que se guarda como segura, como por ejemplo, la información bancaria o de datos confidenciales de las personas.
6) Reproducción no autorizada de programas informáticos protegidos
legalmente y con derechos de autor o patente: Este tipo de acciones
suelen perjudicar económicamente a la persona natural o jurídica que ha generado el programa informático, y no obstante de tratarse de infracciones penadas por la Ley, en el Ecuador por ejemplo, es muy común verificar la presencia de numerosos puestos de venta de toda clase de programas informáticos reproducidos sin autorización. Esta reproducción no se limita solamente a programas de software, sino también de toda clase información introducida en un medio digital y que pueda ser comercializada en el mercado.
En cuanto a la Unión Europea se refiere, existe como acuerdo marco, el Convenio sobre Ciberdelincuencia suscrito en Budapest, el 23 de noviembre del 2001, cuyo objetivo es la cooperación internacional entre los Estados miembros, para prevenir los actos que pongan en peligro la confidencialidad, la integridad y la disponibilidad de los sistemas, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos, garantizando la tipificación como delito de dichos actos, tal como se definen en el citado convenio, el cual incluye la asunción de poderes suficientes para luchar contra dichos delitos, facilitando su detección, investigación y sanción, tanto a nivel nacional como internacional, estableciendo disposiciones materiales que permitan una cooperación internacional rápida y fiable. Este convenio clasifica a los delitos de la siguiente manera:
1) Delitos contra la confidencialidad, la integridad y la disponibilidad de
13
ataques a la integridad de los datos, ataques a la integridad del sistema informatico y abuso de los dispositivos.
2) Delitos informáticos: Forman parte de este título, la falsificación informática y
el fraude informático. Para el efecto del desarrollo de esta tesina, nos interesa conocer cómo este convenio define cada uno de estos delitos.
A la falsificación informática, el convenio la define como como la introducción, alteración, borrado o supresión ilegítimos de datos informáticos que genere datos no auténticos con la intención de que sean tomados o utilizados, a efectos legales como si fuesen auténticos, con independencia de que los datos sean legibles e inteligibles directamente.
El fraude informático se define en este convenio como el conjunto de actos deliberados e ilegítimos que causen perjuicio patrimonial a una persona mediante:
a) La introducción, alteración, borrado o supresión de datos informáticos; y,
b) Cualquier interferencia en el funcionamiento de un sistema informático.
Ambos presupuestos anteriores deben tener la finalidad de obtener de forma ilegítima, un beneficio económico para el infractor o para una tercera persona.
3) Delitos relacionados con el contenido: En este punto tenemos a los delitos
relacionados con la pornografía infantil. Se busca el compromiso de los países suscribientes para sancionar la producción de pornografía infantil a efectos de difundirla por medio de un sistema informático; también se busca sancionar la oferta o puesta a disposición de la pornografía infantil a través de un sistema informático, la difusión o trasmisión de pornografía infantil, la adquisición de pornografía infantil por medios informáticos para sí o para terceros, y finalmente, la posesión de pornografía infantil en un sistema informático o en un dispositivo de almacenamiento de datos informáticos.
4) Delitos relacionados con infracciones a la propiedad intelectual y de los
derechos afines: En este título del convenio, los suscribientes adoptan el compromiso de
14
propiedad intelectual de la OMPI sobre derechos de autor, cuando estas infracciones hubiesen sido cometidas por medio de un sistema informático y a escala comercial.
También se busca el compromiso de las partes para tipificar y sancionar los delitos cometidos por sistemas informáticos y a escala comercial, que afecten los derechos de propiedad intelectual sobre interpretación o ejecución de fonogramas y radiodifusión, protegidos por la Convención Internacional de Roma sobre la Protección de los Artistas Intérpretes o Ejecutantes, los Productores de Fonogramas y los Organismos de Radiodifusión, y el Tratado de la OMPI sobre Interpretación y Ejecución de Fonogramas.
Este convenio busca lograr también que los Estados partes tomen las medidas de conservación necesarias para almacenar de una manera rápida y eficiente, las evidencias de los delitos cometidos por medio o en contra de los sistemas informáticos, a efectos de lograr un procesamiento y detección eficaz de los datos obtenidos en tiempo real (tráfico de la red) y así poder identificar con claridad y a la brevedad posible a los responsables del ciberdelito. El convenio establece también el marco de cooperación o asistencia mutua entre los países suscribientes o adherentes para el acceso transfronterizo a datos almacenados públicamente, y para la asistencia mutua en relación con la intercepción de datos relativos al contenido.
En el Ecuador, los principales siniestros o eventos que por vía informática o telemática, afectan a los clientes de las instituciones del sistema financiero privado, tanto personas naturales como empresas, son los siguientes:
1.- Pishing (pesca fraudulenta de datos); o, password harvesting fishing (cosecha y
pesca de contraseñas).
2.- Pharming (reenvío a otra dirección web desde un mensaje de correo o página).
3.- Transferencias no autorizadas de fondos (desde cuentas de personas naturales,
vía internet).
4.- Generación de órdenes de pago no autorizadas y transferencias de fondos por el
15
En tanto que, los principales eventos que afectan a los clientes de las instituciones financieras ecuatorianas a través de la manipulación y alteración de los productos, servicios y canales electrónicos que estas instituciones ofrecen, son los siguientes:
1)Clonación de tarjetas de débito y crédito a través delskimming, que es un
método de copia de los datos y claves de las tarjetas de débito o crédito, utilizando micro cámaras y/o teclados colocados en los cajeros automáticos.
2)Copia de las bandas magnéticas de seguridad de las tarjetas de débito o
crédito de los clientes, e inserción de estas bandas clonadas en moldes de tarjetas
robadas o adquiridas fraudulentamente, con la finalidad de realizar compras o consumos con cargo o débito a la cuenta del cliente afectado.
3) Shutteros: Se trata de la manipulación de los cajeros automáticos para obtener
dinero, generando una condición de error en los discos duros y software de estos cajeros. Los delincuentes introducen una lámina en la ranura de la salida de efectivo del ATM y accionan un sensor, el cajero automático abre la tapa del dinero e interpreta una condición de error, por lo que reversa la transacción; luego, el defraudador hala las bandas transportadoras del efectivo y toma el dinero.
4) Manipulación de los canales de comunicación de los cajeros
automáticos,sustracción y desciframiento de claves encriptadas de seguridad de los
ATMS del Banco, a través de la conexión de discos duros portátiles, memorias flash,
teclados, mouses, smartphones (teléfonos celulares inteligentes), al disco duro de los cajeros automáticos y desactivación de los sistemas antivirus. En razón del acceso, las personas encargadas del mantenimiento del equipo electrónico bancario suelen constituirse, sino en autores en algunos casos, en cómplices coadyuvantes de estos delitos.
5) Revelación del secreto bancario, esto es, proporcionar a terceros la información de los clientes bancarios contenida en las bases de datos informáticas,
16
3. Problemas especiales en la persecución de los delitos informáticos
La complejidad de la delincuencia informática dificulta de gran manera, la aplicación del Principio de Territorialidad de la Ley, por cuanto muchos de estos ilícitos son de origen o carácter transnacional. En Europa, como ya mencioné anteriormente, existe el Convenio sobre Cibercriminalidad suscrito en el año 2001, el cual ha buscado que los estados partes
adopten la idea de la “jurisdicción universal” para la persecución de los delitos informáticos, ampliando los conceptos de acción y de resultado, propugnado también la aplicación de la llamada teoría de la ubicuidad.
La profesora Ana Pérez Machío7 explica con claridad los conceptos relativos al principio de
jurisdicción universal y al principio de ubicuidad:
a) Principio de jurisdicción universal.- Llamado también de justicia universal, conlleva la
ampliación del sistema de excepciones a la territorialidad de la ley penal, aplicada a ciertos delitos cuyo bien jurídico protegido obliga a esta persecución forzada fuera del ámbito del territorio nacional para que los responsables del ciberdelito no queden en la impunidad. Partiendo de la llamada “teoría de la acción”, habría que considerar que el lugar de origen del delito informático es aquel en que se encuentra ubicado el servidor informático desde el cual el responsable del ciberdelito lanza el ataque a través de las redes informáticas, o bien, es el espacio físico o virtual en el que almacena datos o información obtenida ilícitamente. En cambio, partiendo de la denominada “teoría del resultado”, se considera que cualquier estado puede invocar su jurisdicción para perseguir el delito informático originado en otro estado, si se establece la existencia de elementos de convicción del resultado del ciberdelito, en su territorio.
b) Principio de ubicuidad.- Respecto de esta tesis que goza de mayor aceptación doctrinaria en la actualidad, debemos decir que para la misma no es relevante el lugar de origen o del resultado del delito informático. Existe ubicuidad cuando la jurisdicción de un estado actúa tanto en el caso de que la acción delictiva se lleve a cabo en su territorio y el resultado se produjo fuera de él, tanto como si el ilícito se originó fuera de su territorio y tuvo su resultado dentro de su territorio. El delito se entenderá cometido en cualquiera de los lugares en que se despliega la actividad del autor del hecho o donde se manifiesta el resultado típico, que de formar parte del territorio nacional permitirán la competencia de éste. Solo la atención al lugar en que se despliega la acción y al lugar en que se ejecuta el resultado puede aportar los elementos necesarios para el correcto enjuiciamiento del hecho (énfasis
añadido).
7
CAPÍTULO II
DELITOS INFORMÁTICOS Y ELECTRÓNICOS QUE AFECTAN A LAS INSTITUCIONES DEL SISTEMA FINANCIERO, ESTABLECIDAS EN EL NUEVO CÓDIGO ORGÁNICO
18
1.- El nuevo Código Orgánico Integral Penal y la doctrina final de la acción
Desde el 10 de agosto del 2014 entró en vigencia el Código Orgánico Integral Penal (en adelante COIP) que contiene en la parte sustantiva, la descripción de todos los tipos penales en un solo cuerpo normativo, así como la aplicación de algunos presupuestos de la doctrina mal llamada Finalismo, teoría final de la acción o búsqueda del resultado como manifestación objetiva de la realización del tipo penal.
Conforme lo expresa Ramiro García Falconí, destacamos las siguientes novedades en el COIP:
La dogmática derivada de una teoría subjetiva de la norma penal se impone y las consecuencias que éstaderiva, como es el caso de la ubicación del dolo en sede tipicidad, que se mantiene. No así algunos de los conceptos específicos, como la definición de culpabilidad como juicio de reproche; la propuesta de sustituir culpabilidad por responsabilidad; o la inclusión del principio de necesidad de pena, cómo parte de ésta.En lo referente a la culpabilidad se considera que como fundamento de la retribución es insuficiente y debe ser abandonado, pero el concepto de culpabilidad como concepto limitador de la pena debe seguir manteniéndose.1
El Código Orgánico Integral Penal preceptúa que solamente las conductas penalmente relevantes son punibles de acuerdo a las disposiciones sancionatorias de este cuerpo normativo.
El artículo 22 del COIP dispone lo siguiente: “Conductas penalmente relevantes.- Son
penalmente relevantes las acciones u omisiones que ponen en peligro o producen
resultados lesivos, descriptibles y demostrables”.
Lo destacado de la teoría finalista es que liga el concepto de acción a la voluntad del autor, lo cual tiene como efecto el considerar como penalmente relevante aquello que es atribuible al autory, entre otras consecuencias, el traslado del dolo y la culpa a la tipicidad.
1 García Falconí, Ramiro. (2014).
19
2.- Los delitos patrimoniales e informáticos en el nuevo Código Orgánico Integral Penal con relación al ámbito bancario.
Los delitos que afectan a los clientes y productos de las instituciones del sistema financiero privado, están tipificados en dos secciones del nuevo Código Orgánico Integral Penal: En el Capítulo II, Delitos contra los Derechos de Libertad, Sección Novena, Delitos contra el Derecho a la Propiedad; así como en el Capítulo III, Delitos contra los Derechos del Buen Vivir, Sección Tercera, Delitos contra la Seguridad de los Activos de los Sistemas de la Información y Comunicación. Para efectos de mi estudio, los he dividido en: 1) delitos patrimoniales que se cometen por medios informáticos; y, 2) delitos informáticos y electrónicos que afectan a los clientes, actividades y productos de las instituciones del sistema financiero.
2.1. Delitos patrimoniales que se cometen por medios informáticos:
Art. 186 del COIP.- ESTAFA (Por medios electrónicos): La pena máxima se aplicará a la persona que:
1.- Defraude mediante el uso de tarjeta de crédito, débito, pago o similares, cuando ella sea alterada, clonada, duplicada, hurtada, robada u obtenida sin legítimo consentimiento de su propietario.
2.- Defraude mediante el uso de dispositivos electrónicos que alteren, modifiquen, clonen o dupliquen los dispositivos originales de un cajero automático para capturar, almacenar, copiar o reproducir información de tarjetas de crédito, débito, pago o similares.
La estafa cometida a través de una Institución del Sistema Financiero Nacional o de la economía popular y solidaria que realicen intermediación financiera mediante el empleo de fondos públicos o de la Seguridad Social, será sancionada con pena privativa de la libertad de siete a diez años.
COMENTARIO: Doctrinalmente, la estafa informática está considerada como un delito
20
La estafa informática se trata de una adaptación legislativa para incorporar las modalidades a través de las cuales se comete este delito, pero siempre dentro de la dogmática y criterios interpretativos propios de la estafa. Algunos doctrinarios sostienen en cambio que el elemento de engaño o error difiere de la estafa tradicional y que por lo tanto, la estafa informática conlleva una nueva figura penal.
El elemento relevante que caracteriza a esta modalidad de estafa es la manipulación informática que debe conducir como objetivo al engaño de la víctima. La apropiación de valores lograda a través de la manipulación informática finalmente va a provocar el perjuicio patrimonial para el tercero, como el elemento requerido en todos los supuestos de estafa. El autor de la estafa siempre está guiado por el ánimo de lucro que es el elemento subjetivo que completa los elementos objetivos del hecho punible.
Art. 190 del COIP.- APROPIACIÓN FRAUDULENTA POR MEDIOS ELECTRÓNICOS:
La persona que utilice fraudulentamente un sistema informático o redes electrónicas y de telecomunicaciones para facilitar la apropiación de un bien ajeno o que procure la transferencia no consentida de bienes, valores o derechos en perjuicio de esta o de una tercera, en beneficio suyo o de otra persona alterando, manipulando o modificando el funcionamiento de redes electrónicas, programas, sistemas informáticos, telemáticos y equipos terminales de telecomunicaciones, será sancionada con pena privativa de libertad de uno a tres años.
La misma sanción se impondrá si la infracción se comete con inutilización de sistemas de alarma o guarda, descubrimiento o descifrado de claves secretas o encriptadas, utilización de tarjetas magnéticas o perforadas, utilización de controles o instrumentos de apertura a distancia, o violación de seguridades electrónicas, informáticas u otras semejantes.
COMENTARIO: En el ámbito bancario, las víctimas de este delito son las personas
21
pharming) y logra de esta manera transferir los fondos que existen en dicha cuenta bancaria, a la cuenta de otra persona que también consta como cliente de dicho banco, o bien a las cuentas de usuarios de otras instituciones financieras.
En algunos casos, el beneficiario de la transferencia no autorizada desconoce que su cuenta
bancaria fue utilizada, este es el caso denominado “usode cuentas puente”, en las cuales el
dinero transferido permanece por unas horas, mientras el ciberdelincuente elige el destino final de los fondos obtenidos; este tipo de triangulación en el desarrollo del delito, dificulta su persecución. El beneficiario final de los fondos suele realizar el retiro de los mismos, pero no suelen ser personas que tienen el conocimiento para atacar las cuentas de los clientes bancarios vía informática, son sus cómplices.
En el Código Penal anterior, vigente hasta el 9 de agosto del 2014, la apropiación ilícita por medios informáticos, informáticos o telemáticos constituía un delito sancionado con pena privativa de libertad desde seis meses hasta los cinco años de prisión. La nueva figura penal contemplada en este artículo 190 del COIP, ha rebajado la pena a este tipo de delitos, hasta los tres años de pena privativa de libertad, lo que sin duda tendrá un impacto negativo en la relación banca-clientes, porque los ciber delincuentes se verán mayormente incentivados a atacar las cuentas de las personas naturales clientes de los bancos, tomando en cuenta que el primer responsable de este delito, en razón del resultado, resulta ser siempre el beneficiario de la transferencia no autorizada desde la cuenta del afectado.
2.2. Delitos informáticos y electrónicos que afectan a los clientes, actividades y productos de las instituciones del sistema financiero:
Art. 229 del COIP.- REVELACIÓN ILEGAL DE BASES DE DATOS: La persona que, en
provecho propio o de un tercero, revele información registrada, contenida en ficheros, archivos, bases de datos o medios semejantes, a través o dirigidas a un sistema electrónico, informático, telemático o de telecomunicaciones; materializando voluntaria e intencionalmente la violación del secreto, la intimidad y la privacidad de las personas, será sancionada con pena privativa de la libertad de uno a tres años.
22
intermediación financiera o contratistas, será sancionada con pena privativa de la libertad de tres a cinco años.
COMENTARIO: En la Ley Orgánica de Instituciones del Sistema Financiero, artículo 94,
estuvo vigente hasta el 9 de agosto del 2014, el delito de “violación al sigilo bancario” con pena de prisión de uno a cinco años. Esta figura penal sancionaba toda conducta de los servidores bancarios consistente en proporcionar y divulgar información sujeta al sigilo y reserva bancaria, esto es, la información de operaciones activas y pasivas de los clientes de las instituciones del sistema financiero.
Podemos decir que en la actual codificación del COIP, el ámbito de protección de los datos personales constantes en archivos físicos o informáticos, bases de datos, se ha extendido a toda clase de actividades, siendo sancionada aquella persona que revele esta información. Si la violación de estos datos personales los hace quien tiene la calidad de empleado bancario, el delito constituye una agravante, sancionada con pena privativa de la libertad de tres a cinco años.
La actuación dolosa o culposa del empleado bancario puede traer consecuencias civiles o hasta penales a las instituciones del sistema financiero en las cuales trabaja este funcionario.
El artículo 155 del recientemente entrado en vigencia Código Orgánico Monetario y
Financiero, establece lo siguiente: “Protección.- En los términos dispuestos por la
Constitución de la República, este Código y la ley, los usuarios financieros tienen derecho a
que su información personal sea protegida y se guarde confidencialidad”.
Los artículos 352 y 353 del mismo Código Orgánico Monetario y Financiero, consagran la protección de la información, entendiéndose ésta como datos de carácter personal de los usuarios del sistema financiero nacional, que reposan en las entidades de dicho sistema y su acceso está protegido, pudiendo ser entregada esta información solamente a su titular o a quien éste autorice.
23
sanciones administrativas sin perjuicio de la responsabilidad penal que implica la divulgación de esta información.
La formación ética de los empleados bancarios es un ítem de alta importancia dentro de las medidas de seguridad que establecen las instituciones del sistema financiero para el combate del cibercrimen, al igual que la desconcentración de funciones en varios funcionarios o empleados, de manera que no se permita que un determinado funcionario maneje muchos aspectos operacionales relacionados con el servicio al cliente a través de medios informáticos. Es claro que la mayor vulnerabilidad que puede tener una institución del sistema financiero privado, no son sus sistemas o redes de información, sino la posibilidad de que sus empleados sean corrompidos y se vuelvan parte del ciberdelito a cambio de una recompensa económica mal habida. Por supuesto, los ciberdelincuentes a toda costa tratan de establecer contacto con funcionarios bancarios o de las empresas que prestan servicios auxiliares operativos a las instituciones del sistema financiero, a fin que su labor delictiva se vea facilitada. Es mucho más fácil que un delincuente informático pueda vulnerar la red y canales de transmisión de datos a través de una computadora de un funcionario bancario, que a través de lo que usualmente significa hacerlo desde una terminal computacional externa.
Art. 230 del COIP.- INTERCEPTACIÓN ILEGAL DE BASES DE DATOS.- Será
sancionado con pena privativa de la libertad de tres a cinco años:
1.- La persona que sin orden judicial previa, en provecho propio o de un tercero,
intercepte, escuche, desvíe, grabe u observe, en cualquier forma un dato informático en su origen, destino, destino o en el interior de un sistema informático, una señal o una trasmisión de datos o señales con la finalidad de obtener información registrada o disponible.
2.- La persona que diseñe, desarrolle, venda, ejecute, programe o envíe mensajes,
24
3.- La persona que a través de cualquier medio copie, clone o comercialice información
contenida en las bandas magnéticas, chips u otro dispositivo electrónico que esté soportada en las tarjetas de crédito, débito, pago o similares.
4.- La persona que produzca, fabrique, distribuya, posea o facilite materiales,
dispositivos electrónicos o sistemas informáticos destinados a la comisión del delito descrito en el inciso anterior.
COMENTARIO: Algunas conductas anteriormente tipificadas como parte de la figura
penal de apropiación ilícita (artículos 553.1 y 553.2 del Código Penal vigente hasta el 9 de agosto del 2014) están incorporadas y desarrolladas en este artículo del COIP; de igual manera, algunos elementos del delito que anteriormente se conocía como “falsificación
electrónica” (artículo 353.1 del Código Penal vigente hasta el 9 de agosto del 2013) han sido incorporados en el numeral 3 de este artículo, pero en un amplio espectro que incluye al
skimming (robo de la información de tarjetas de crédito o débito para un uso fraudulento posterior) y a la utilización o comercialización de las tarjetas clonadas electrónicamente. Se sanciona también a la persona que fabrique, produzca y distribuya estos dispositivos electrónicos de clonación, con lo cual se verifica que este delito apunta a sancionar toda acción que conlleve la utilización de medios electrónicos para perpetrar fraudes, pero lo que se castiga es al delito informático en sí mismo. La relación de estos delitos informáticos y electrónicos con el ámbito bancario es evidente, ya que estos son los tipos penales que engloban o abarcan las conductas que atacan y lesionan a los clientes bancarios y a los productos e imagen pública de la propia institución financiera.
Art. 231 del COIP.- TRANSFERENCIA ELECTRÓNICA DE ACTIVO PATRIMONIAL.-
La persona que con ánimo de lucro, altere, manipule o modifique el funcionamiento de programa o sistema informático o telemático o mensaje de datos, para procurarse la transferencia o apropiación no consentida de un activo patrimonial de otra persona en perjuicio de esta o de un tercero, será sancionada con pena privativa de libertad de tres a cinco años.
25
COMENTARIO: Como elementos objetivos de este tipo penal, muy similar en su
contenido al artículo 553.1 del Código Penal ecuatoriano que estuvo vigente hasta el 9 de agosto del 2014, tenemos los siguientes:
1.- Obtener la transferencia no consentida de bienes, valores o derechos.-
Con este elemento se elimina el problema de la disposición personal de la cosa perteneciente a otro, exigida por el tipo general de estafa (artículo 186 del COIP). Esto en cuanto a que en dicho tipo penal se exige por parte del sujeto pasivo, la entrega de una cosa ajena mediante el engaño y el abuso de confianza, situación que no ocurre en el fraude informático.
2.-Perjuicio de un tercero.- Disminución del patrimonio de la entidad financiera
o comercial o de sus clientes. Este perjuicio se produce en el momento que es modificada la anotación en cuenta, a consecuencia de lo cual se produce la detraccióndel dinero contable o escritural respecto de su legítimo titular y, al mismo tiempo, ha quedado fuera de su ámbito de disposición mediante la transferencia al registro designado por el autor.
3.- Manipulación informática fraudulenta.- En este punto hay que tener en
cuenta las diferentes formas y técnicas que se utilizan en el fraude informático; de otro lado, la manipulación informática fraudulenta descrita en el tipo con los verbos alterar, manipular y modificar, se une al concepto de apropiación de un bien patrimonial ajeno en sentido amplio.
4.- Dolo y medio fraudulento.- En la apropiación ilícita debe existir la utilización
de un medio fraudulento para el cometimiento de la infracción, cual es la manipulación informática fraudulenta; y la intención del agente debe dirigirse en primer lugar a causar un perjuicio económico a la víctima y, en segundo lugar, revelar el ánimo de lucro con el cual el delincuente informático actúa.
5.- Relación de causalidad.- Se exige que exista una cadena causal entre los
26
Art. 232 del COIP.- ATAQUE A LA INTEGRIDAD DE SISTEMAS INFORMÁTICOS.- La
persona que destruya, dañe, borre, deteriore, altere, suspenda, trabe, cause mal funcionamiento, comportamiento no deseado o suprima datos informáticos, mensajes de correo electrónico, de sistemas de tratamiento de información, telemático o de telecomunicaciones a todo o parte de sus componentes lógicos que lo rigen, será sancionada con pena privativa de libertad de tres a cinco años.
Con igual pena será la sancionada la persona que:
1.- Diseñe, desarrolle, programe, adquiera, envíe, introduzca, ejecute, venda o distribuya de cualquier manera, dispositivos o programas informáticos maliciosos o programas destinados a causar los efectos señalados en el primer inciso de este artículo.
2.- Destruya o altere sin la autorización de su titular, la infraestructura tecnológica necesaria para la transmisión, recepción o procesamiento de información en general.
Si la infracción se comete sobre bienes informáticos destinados a la prestación de un servicio público o vinculado con la seguridad ciudadana, la pena será de cinco a siete años de privación de libertad.
COMENTARIO: Desarrollando los conceptos expuestos por Fernando Tomeo2, se
establece que el intrusismo informático no autorizado o acceso ilegítimo a los sistemas de información se conoce como hacking; y a quienes alteran los sistemas informáticos introduciéndose ilegítimamente en ellos con fines de lucro u otras finalidades, se los denomina hackers o crackers.
La palabra hacker proviene de los reparadores de cajas telefónicas (E.E.U.U. en la década del 50), cuya principal herramienta de reparación era un golpe seco al artefacto con fallas (un “hack”), de ahí que se los llamó “hackers”. Puede definirse como un experto informático que utiliza técnicas de penetración no programadas, autorizadas o convencionales, para acceder a un sistema informático con los más diversos fines, sean estos el satisfacer su curiosidad, superar los controles públicos o privados, probar la vulnerabilidad del sistema para mejorar su seguridad, sustraer, modificar, dañar o eliminar
2
27
información; y cuyas motivaciones también responden a los más variados intereses: ánimo de lucro, posturas ideológicas anarquistas, avidez de conocimientos, orgullo, propaganda política, etc.
Con el tiempo y frente a las actitudes dañosas de algunos de estos individuos, la misma
cultura hacker gestó el término “crackers” para aludir a estos sujetos, diferenciándose de los
mismos por tener fines supuestamente más altruistas. Posteriormente, la doctrina receptó tal diferenciación entre intrusismo informático ilegítimo (hacking) y sabotaje informático (cracking), basándose en el elemento subjetivo que delimita la frontera de cada comportamiento; mientras en el último supuesto, la intencionalidad del agente es obstaculizar, dejar inoperante o dañar el funcionamiento de un sistema informático, en el primer caso la acción realizada busca únicamente el ingreso a tales sistemas sin dirigir sus actos a la afectación de la integridad o disponibilidad de la información, pero sí, a la confidencialidad y exclusividad de la misma y también, en algunos casos, a vulnerar la intimidad del titular de aquélla.
No obstante, existen hackers que manifiestan su accionar como una forma o filosofía de vida, de experimentar y crear, con espíritu aventurero, sin límites ni restricciones, pero cuya finalidad no es la de dañar. La cultura hacker de estos grupos, sostiene que son el motor de la infraestructura informacional, puesto que pregonan la absoluta libertad de la información y desarrollan la ingeniería necesaria para el mejoramiento de los sistemas informáticos (software libre y seguridad de redes).
Si bien toda intrusión informática no autorizada resulta ilegítima por suponer un acto de penetrar o violentar las barreras de seguridad predispuestas por su titular para proteger información privada o confidencial, para acceder al sistema da datos, o lo que es lo mismo, el ingreso ilícito del ciberdelicuente contra la voluntad presunta del afectado, no es posible incluir en este presupuesto a los técnicos informáticos que desarrollan seguridad de redes, denominados “hackers éticos” quienes poseen autorización o consentimiento expreso del titular del sistema para verificar la seguridad de un servidor, terminal computacional o redes de comunicación.
28
ausencia de antijuridicidad y de dolo, ya que la voluntad y conocimientos del técnico especializado está orientada al descubrimiento de intrusiones o alteraciones del sistema informático que analiza, a través del uso de programas o test autorizados.
La clasificación que realiza Fernando Tomeo considera los siguientes tipos de hackers3:
a) “Black hats”: Suelen practicar actividades ilícitas con fines lucrativos, rompiendo sistemas de seguridad de computadoras, realizar entradas remotas no autorizadas, colapsar servidores, entrar a zonas restringidas, infectar redes o apoderarse de ellas.
b) “White hats”: También llamados “hackers éticos”, son personas que trabajan para empresas
de desarrollo de programas informático, protegiendo y reparando errores en los sistemas.
c) “Blue hats”: Trabajan en un entre oficial del Estado o en una empresa de seguridad que intenta identificar los problemas potencialmente dañosos.
d) “Script-kiddies”: Son hackers que carecen de experiencia y ejercen formas básicas de
hacking; por ejemplo, buscan y descargan programas y herramientas de intrusión informática, para luego ejecutarlos como simple usuario, sin preocuparse del funcionamiento interno de éstos ni de los sistemas sobre los que funcionan.
e) “Hacktivistas”:La motivación por la cual estas personas “hackean” se asocian a movimientos ideológicos concretos, relacionados con alguna causa social, promoviendo cambios en los modos de vida, de la libertad del conocimiento y la justicia social.
f) “Hackers de élite”: Pertenecen a uno o varios colectivos virtuales oscuros y prestigiosos y se consideran los más expertos de todos.
3 Tomeo Fernando,
CAPÍTULO III
30 1.- ¿Qué es la teoría del caso?
En el juicio oral rige el principio de la contradicción. El fiscal y el defensor exponen su relación de los hechos en los alegatos de apertura, en los interrogatorios y en los alegatos de cierre. Todo esto implica que las partes deben diseñar su teoría del caso, desarrollar un conjunto de habilidades y destrezas, aportar pruebas, así como realizar interrogatorios adecuados.
El profesor Luis Felipe Valdivieso Arias establece que: “Teoría del Caso es el planteamiento
técnico que desarrolla y argumenta cada una de las partes dentro de un procedimiento, sea
en defensa o en acusación. Es una metodología de análisis de los hechos relevantes, de las
pruebas, la participación de los imputados y de las circunstancias de la infracción”1.
La teoría del caso, para que sea útil, debe cumplir con las siguientes condiciones:
a) Debe ser lógica: Los hechos planteados deben coincidir y guardar armonía con
los planteamientos conceptuales y jurídicos de la exposición en causa. La concordancia lógica debe ser sincrónica para cada una de las deducciones o inferencias que se van a debatir, tanto en lo fáctico como en lo jurídico.
b) Debe ser creíble: El planteamiento que se expone como teoría del caso, debe
ser extremadamente creíble, confiable y bastante apegado a la realidad de los hechos para lograr explicarse por sí mismo, como un acontecimiento humano real, acorde con el sentido común y las reglas de la experiencia. También debe ser persuasivo, a tal punto que convenza a los demás de lo que se considera como cierto y que evidentemente debe ser sensato.
c) Legalmente suficiente: Todo razonamiento jurídico debe soportarse en el
Principio de Legalidad y, por tanto, debe llenar desde el punto de vista del acusador todos los elementos de la conducta punible y de la culpabilidad. Desde el punto de vista del abogado defensor, debe determinar la falta de algún elemento de la conducta o de la responsabilidad, o el incumplimiento de antecedentes jurisprudenciales que fijan el alcance
1
31
de la norma o la violación o inexistencia de los procedimientos que garantizan la autenticidad de los medios de prueba (cadena de custodia).
d) Debe ser concreta pero flexible: Porque siempre se concibe un plan inicial de
cómo será un juicio, pero éste está sujeto a imprevistos que forman parte de un sistema adversarial. La teoría del caso debe ser suficientemente flexible para adaptarse o comprender los posibles desarrollos del proceso sin cambiar radicalmente, porque este tipo de cambio acabaría con la credibilidad de cualquier sujeto procesal.
Una buena teoría del caso es aquella que contiene una hipótesis sencilla sobre los hechos y una adecuación típica de los mismos, sin que se recaiga en sofisticados razonamientos fácticos o dogmáticos; que es creíble y de formulación lógica, logrando explicar congruentemente la mayor cantidad de hechos que sustenten la propia pretensión, recogiendo inclusive aquellos puntos que forman parte de la teoría del caso de la contraparte que pueden fortalecernos, temas que van dilucidándose en el transcurso del juicio.
2.- Componentes o elementos de la teoría del caso
Concordando con el doctor Alfonso Zambrano Pasquel2, determinamos que los tres
elementos relevantes de la Teoría del Caso, son los siguientes:
2.1. Elemento fáctico: Es la identificación de los hechos relevantes o conducentes
para comprobar la responsabilidad o no responsabilidad del procesado, hechos que deben ser reconstruidos durante el debate oral, a través de las pruebas. Los hechos contienen las acciones con circunstancias de tiempo, los lugares o escenarios, los personajes y sus sentimientos, el modo de ocurrencia, los instrumentos utilizados, y el resultado de la acción o acciones realizadas.
El aspecto fáctico lo constituyen los hechos relevantes, afirmaciones o proposiciones fácticas que queremos que acepte el juzgador para establecer lo jurídico. Lo fáctico sustenta lo jurídico, siendo la identificación de los hechos conducentes para comprobar la responsabilidad o no responsabilidad del procesado, hechos que deben ser reconstruidos
2
32
durante el debate oral, a través de las pruebas. Los hechos contienen las acciones con circunstancias de tiempo, los lugares o escenarios, los personajes y sus sentimientos, el modo de ocurrencia, los instrumentos utilizados y el resultado de las acciones realizadas.
2.2. Elemento probatorio: Nos permite establecer cuáles son las pruebas pertinentes
para establecer la certeza de la ocurrencia de la conducta punible y de la responsabilidad del acusado, como supuestos de una sentencia condenatoria para la Fiscalía. O bien la ausencia o deficiencia de estos requisitos en el caso de la defensa, fallas procedimentales esenciales o la ruptura de la cadena de custodia que hace perder la autenticidad de la prueba. La teoría probatoria es el modo de comprobar ante el juez, los planteamientos formulados.
Frente al conocimiento de los hechos relevantes, existe la determinación y la clasificación de las pruebas que demuestran cada supuesto, permitiéndonos esto saber qué fortalezas y debilidades tiene nuestra teoría del caso, para concluir si hay lugar a formular acusación cuando se trata de la Fiscalía; o para saber qué tan comprometida está la responsabilidad del procesado, cuando se trata del defensor. Lo probatorio consiste en examinar las pruebas que queremos presentar para establecer lo fáctico. El elemento probatorio sustenta la teoría fáctica y la jurídica.
En el campo probatorio se cuentan todos los elementos de prueba, para establecer la materialidad del hecho; se desarrollan las pruebas testimoniales, documentales y materiales y se establecesu peso o valor dentro del proceso.
2.3. Elemento jurídico: Consiste en el encuadramiento jurídico de los hechos dentro de
