Propuesta de Buenas Prácticas para Fortalecer los Controles de Prevención y Detección Temprana del
Cibercrimen en las Empresas Colombianas ... 2
1. Introducción... 3
2. Metodología... 7
3. Situación de las empresas colombianas frente al cibercrimen financiero ... 9
3.1 Realidad cuantificable de las pérdidas financieras en las empresas colombianas a causa del cibercrimen. ... 10
4. Normatividad colombiana sobre Ciberseguridad y Ciberdefensa. ... 18
4.1 Historia normativa de la seguridad informática en Colombia. ... 18
4.2 Iniciativas y planes de acción contra el cibercrimen impulsados por el estado colombiano ... 28
5. Tendencias y prácticas internacionales sobre seguridad informática. ... 41
5.1 Normatividad y convenios internacionales vigentes contra el Cibercrimen (Rango UIT) ... 41
5.2 Panorama internacional del Ciberdelito ... 66
6. Propuesta de buenas prácticas para cada una de las conductas penales “delitos” consignados en la Ley 1273 del 2009. ... 97
6.1 Limitantes en la normatividad del Estado Colombiano en la prevención del cibercrimen frente a los adelantos internacionales. ... 97
6.2 Propuesta de buenas prácticas para cada una de las conductas penales o delitos consignados en la Ley 1273 del 2009, que permitirá a las empresas disminuir la brecha que aumenta el riesgo al cibercrimen. ... 106
7. Conclusiones Preliminares ... 142
Propuesta de Buenas Prácticas para Fortalecer los Controles de Prevención y Detección
Temprana del Cibercrimen en las Empresas Colombianas1
Katy Alejandra Vásquez Zarate** María Paula Cárdenas Rodríguez***
Resumen
Durante la evolución económica y financiera de los mercados globales han surgido y
desarrollado fuerzas negativas que afectan el panorama de la seguridad cibernética. La aparición
de nuevas plataformas tecnológicas no solamente ha generado un incremento de las
transacciones financieras, sino que ha dado lugar a nuevas posibilidades de delito informático.
Por lo anterior, es necesario establecer buenas prácticas de prevención y detección temprana de
este tipo de fraude, uniendo esfuerzos del sector gubernamental y privado para disminuir las
brechas de vulnerabilidad asociadas al cibercrimen en las empresas colombianas.
Abstract
During the economic and financial developments in global markets they have emerged and
developed negative forces that affect the landscape of cybersecurity. The emergence of new
technology platforms has not only generated an increase of financial transactions, but has led to
*El presente es un artículo de revisión bibliográfica comparativa, con fundamento en una investigación analítica que busca proponer una estructura conceptual de buenas prácticas para fortalecer los controles de prevención y detección temprana del cibercrimen en las empresas colombianas.
** Estudiante de Pregrado de Contaduría Pública de la Pontificia Universidad Javeriana. Correo: [email protected].
new possibilities of cybernetic crime. Therefore, it is necessary to establish good practices for
prevention and early detection of this type of fraud, joining efforts of public and private sector to
reduce vulnerability breach associated with cybercrime in Colombian companies.
Palabras clave autor: cibercrimen, ciberseguridad, delitos informáticos, buenas prácticas, fraude, auditoria forense, empresas colombianas.
Códigos JEL:M42, M48, O38
1. Introducción
El Estado colombiano ha considerado en sus últimos planes de desarrollo el fortalecimiento y
ampliación de la red e infraestructura tecnológica del país. Con su implementación se ha
incrementado el comercio electrónico entre los ciudadanos en un 59% y entre las empresas en un
79%2, respectivamente. Del mismo modo, se ha presentado un aumento considerable en las
transacciones financieras a nivel nacional.
En esta coyuntura, en el proceso de desarrollo del mercado a nivel mundial y en su evolución
hacia el comercio electrónico, las medidas de control adoptadas por el estado colombiano se han
fortalecido de acuerdo con los programas digitales establecidos. No obstante, estos esfuerzos no
han sido suficientes para combatir y reducir los ataques cibernéticos, que para el año 2014 cobro
6 millones de víctimas representando perdidas económicas por 464 millones de dólares por año
(Certicámara, 2014), debido a los vacíos existentes en la normatividad y en el tratamiento
procesal para los ciberdelincuentes clasificados como “hackers” y “crackers” según sea su
intención al momento de cometer el delito.
Por esto, el país está ante el inevitable acecho de la cibercriminalidad. Tal como lo describe
Oxman (2013), la cibercriminalidad:
se presenta en la cotidianidad de las personas bajo las más variadas formas, expresivas de una amplia heterogeneidad de nuevos fenómenos delictivos y renovadas modalidades de comisión de los delitos tradicionales, especialmente, a través de sistemas o redes informáticas de transmisión y de intercambio de datos por internet, cuya complejidad operativa dificulta su persecución y en consecuencia incrementa los niveles de impunidad. Y, aunque en realidad no exista un concepto de "cirbercriminalidad" unánimemente aceptado, podríamos decir que se trata de un término que hace referencia a un conjunto de actividades ilícitas cometidas al amparo del uso y el abuso de las tecnologías de la información y la comunicación (TIC 3), poniendo en peligro o lesionando intereses o bienes jurídicos de naturaleza individual o bien, amenazando la seguridad de los sistemas sociales (pág. 212).
Es importante comprender este fenómeno pues empresas del sector público y privado han
migrado paulatinamente sus negocios hacia el “ciberespacio”4 (Ministerio de Defensa Nacional,
2009). Gradualmente se han creado canales basados en tecnología e implementado en el control
de sus operaciones, sistemas informáticos complejos y robustos. Éstos controlan el acceso de los
usuarios a su información y a sus canales transaccionales; no obstante otros usuarios también han
podido acceder a esta clase de sistemas de manera fraudulenta (cuando se identifican las posibles
3 Se consideran Tecnologías de la Información y Comunicación tanto al conjunto de herramientas relacionadas con la transmisión,
procesamiento y almacenamiento digitalizado de información, como al conjunto de procesos y productos derivados de las nuevas herramientas (hardware y software) Disponible en: http://www.recursoseees.uji.es/fichas/fc10.pdf
4 El ciberespacio es la red interdependiente de infraestructuras de tecnología de la información, que incluye internet y otras redes de
brechas en los controles establecidos) y han cometido delitos como: hackeo, crackeo, denegación
de servicios, falsificación de documentos electrónicos, robos en cajeros automáticos y tarjetas de
crédito, robos de identidad, phreaking, fraudes electrónicos e incluso sabotaje informático.
Como lo detalla KPMG (2013) en su encuesta sobre el fraude del año 2013, “el
cibercrimen5 ha tomado fuerza en el ámbito tecnológico convirtiéndose en uno de los cuatro tipos
principales de crímenes económicos que más afectan a las compañías colombianas. Por su parte,
según Symantec (2014) en el foro Symantec Visión de 2014, los ataques dirigidos crecieron en el
país un 91% durante el año 2012 (representando mayores pérdidas financieras para las empresas
del país), y se hace cada vez más difícil contrarrestarlos dado que se ha sofisticado cada vez más
la infraestructura delictiva.
Considerando este incremento del cibercrimen en Colombia se genera una duda sobre la
suficiencia y efectividad de los adelantos normativos sobre ciberseguridad y la adaptación de
estos en las prácticas y controles que se implementan en las empresas. (Centro Cibernético
Policial, 2015).
Si se tiene en cuenta la importancia de los sistemas de información, y de acuerdo con
Cano (2011):
los ejercicios de riesgos y controles propios de las empresas, para establecer y analizar los activos de información críticos, han dejado de ser algo que hacen los de seguridad para transformarse día a día en una disciplina que adopta la organización, para hacer de su gestión de la información una ventaja clave y competitiva frente a su entorno de negocio. (pág. 4)
5Cibercrimen: Se refiere a aquellas actividades ilícitas de carácter informático que se llevan a cabo para robar, alterar, manipular, enajenar, o
De acuerdo con las encuestas reveladas por firmas de auditoría KPMG y PWC, los
cibercriminales podrán vulnerar la seguridad informática utilizando software indetectable y
mucho más sofisticado, ya que requieren de poca infraestructura material para sus ataques y
logran una alta ganancia económica. Esto representa grandes afectaciones al patrimonio de las
empresas y vulneración a los sistemas de ciberseguridad impulsados desde el gobierno.
Por lo anterior, resulta necesario realizar una propuesta de adopción de buenas prácticas6 que
reduzca la brecha en los controles establecidos por las empresas disminuyendo los riesgos a
ciberataques por cada conducta penal o delito descritos en la Ley 1273 de 2009, beneficiandoel manejo de las tecnologías de la información y particularmente los aspectos ligados a la seguridad
informática. Esta ley fue construida a partir de la revisión del estado del arte, es decir, de la normatividad nacional vigente relacionada y estudios realizados por organizaciones competentes
y expertas, versus los avances y pronunciamientos internacionales en ciberseguridad, para
finalmente proponer las buenas prácticas que pueden ayudar a contrarrestar los delitos
informáticos.
6E ge e al el o epto de ue as p á ti as se efie e a toda experiencia que se guía por principios, objetivos y procedimientos apropiados o
2. Metodología
Este trabajo es una revisión bibliográfica comparativa y su intención es investigar y revisar
diferentes fuentes de información sobre la situación actual normativa del estado colombiano
frente a las tendencias y avances internacionales para combatir el cibercrimen. Pretendemos
proponer que el Estado Colombiano valide si la estructura legal se encuentra soportada en las
últimas estructuras conceptuales de buenas prácticas para el manejo de las tecnologías de la
información, las cuales buscan el fortalecimiento de los controles y la disminución de brechas de
seguridad en las empresas colombianas para la producción de eventos de cibercrimen.
Esta investigación es de tipo cualitativo, por cuanto se toma en primer lugar, el fenómeno del
cibercrimen tal y como es, y posteriormente se va de lo general a lo particular para determinar las
posibles causas del problema. Así, posteriormente obtenemos un resultado concreto que permitirá
hacer frente a la problemática del cibercrimen, desde la perspectiva del control interno
corporativo.
La revisión bibliográfica abarcará fuentes publicadas en los últimos cinco años (2010-2015)
nacionales e internacionales que involucren las primeras ocho (8) posiciones del ranking global
del Índice Mundial de Ciberseguridad 2014 (IMC) publicado por La Unión Internacional de
Telecomunicaciones (UIT), que en adelante denominaremos RANGO UIT.
Con esta propuesta buscamos de una parte, un beneficio directo para las empresas puesto que
se busca que éstas implementen buenas prácticas de seguridad de la información, y de otra,
aportar al Ministerio de Tecnologías de la información y las Comunicaciones los elementos
los delitos cibernéticos que tipifica la Ley 1273 de 2009. En la figura 1 se proponen algunas
[image:9.612.86.549.155.402.2]buenas prácticas para las empresas.
3. Situación de las empresas colombianas frente al cibercrimen financiero
Con el creciente uso del internet y la variedad de herramientas informáticas disponibles que
facilitan el acceso fraudulento a las empresas, se presenta un aumento en la brecha de los
controles que permiten un incremento de las amenazas a los sistemas de información. El aumento
de usuarios en las diferentes plataformas tecnológicas ha hecho más atractivo para los
ciberdelincuentes planear ataques focalizados o masivos por el alto grado de vulnerabilidad de la
información y de los bajos costos que representa la infraestructura de sus ataques. Por ello, “el
cibercrimen es un delito más rentable que el narcotráfico” (Dinero, 2015).
Este panorama resulta desalentador considerando que Colombia es el tercer país
latinoamericano más atractivo para los ciberdelincuentes, con un 21,73% seguido por Perú y
Ecuador. Según Iván Iván Galindo, representante de Digiware:
(…)Colombia se ha convertido en uno de los principales destinos para el cibercrimen debido a
que esas organizaciones se fijan en la actualidad económica de las naciones a las que van a atacar (ese país es el que mayores proyecciones de crecimiento tiene en la región pues ese porcentaje es del 3,3% para este año) explica (Dinero, 2015, pág. 1) .
Conforme lo explica Carlos Carrizosa, director de Seguridad de la Información de
Teleperformance, hay diferentes actividades en las que las empresas ya han venido trabajando
para superar las violaciones más conocidas en contra de la información, como son: el uso de
cuentas y tarjetas de crédito, la suplantación de identidades y la fuga de información al interior de
las organizaciones, entre otras. Pero estas actividades no han sido suficientes para enfrentar el
cibercrimen en Colombia. Consultado el coronel Bautista por las principales causas de fraudes
organizaciones de carácter privado, y algunas públicas, acerca del manejo de la gestión de la
seguridad de la información”. (Diario La República, 2013, pág. 1)
3.1 Realidad cuantificable de las pérdidas financieras en las empresas colombianas a causa
del cibercrimen.
El documento Los Avances y retos de la defensa digital en Colombia tiene como
propósito realizar un diagnóstico sobre el grado de exposición de nuestro país frente a delitos
cibernéticos, así como el nivel de sofisticación de la defensa nacional digital para contrarrestar y
prevenir estos tipos de amenazas.
En documento, FEDESARROLLO-Fundación para la Educación Superior y el
Desarrollo- encontró que:
Colombia fue uno de los países que mayor progreso demostró en este campo en la última década, toda vez que aumentó el porcentaje de individuos que usaba internet de un 2% en 2000 a más del 50% en 2013, ubicándose así en la cuarta posición frente a sus pares de la región. Aunque Colombia es un país con un nivel potencial de riesgo medio para ser atacado por piratas informáticos, el crecimiento económico que ha alcanzado en los últimos años lo hace atractivo para quienes cometen delitos en el ciberespacio. En lo que respecta al costo, esta misma compañía estimó que el ciberdelito causó un daño económico al consumidor cercano a los 500 millones de dólares durante lo corrido de 2013, acercándose así cada vez más a los países que reciben mayores ataques cibernéticos en el mundo. (CCIT y Fedesarrollo, 2014, pág. 4)
El reporte Norton 2013 es uno de los estudios más grandes del mundo sobre delitos
adopción y evolución de las nuevas tecnologías impacta sobre la seguridad de los usuarios. La
investigación se realizó a más de 13.000 adultos en 24 países, incluido Colombia.
Según este informe, las personas con más probabilidades de convertirse en victimas del
cibercrimen son hombres con un 64%, comparado con las mujeres que tienen un 58%. Los países
con mayor número de víctimas por delitos informáticos es Rusia en primer lugar, con 85%, en
segundo lugar, China con un 77%, seguido de México con un 71%, y con un cuarto lugar está
Colombia con un 64%. El 41% de las personas conectadas a la red ha sufrido ataques tales como malware, virus, piratería, estafas, fraudes y robo; entendiéndose a los usuarios como personas
naturales y usuarios jurídicos.
En resumen, US$113 mil millones son los costos directos globales totales en 12 meses. El 50% de los adultos conectados a la red ha sido víctima de un ciberdelito y/o ha sufrido incidentes en el último año todos los días., Más de 1 millón de adultos es víctima de delitos informáticos, es decir, 12 víctimas por segundo. (Symantec, 2013, pág. 1)
La Encuesta de Fraude en Colombia 2013 realizada por KPMG, fue aplicada a 197
directivos de empresas que operan en Colombia cuya muestra en total representa 65% de
compañías privadas y 35% de compañías públicas. Su objetivo fue conocer la incidencia y el
impacto que tienen los crímenes económicos, en sus modalidades de malversación de activos,
fraude financiero, corrupción y cibercrimen. Se realizó a 197 directivos de empresas que operan
en Colombia y que han registrado ingresos anuales desde 50 millones de dólares.
Las empresas que participaron en este estudio representan diversos sectores e industrias,
como son energía, manufactura, banca y servicios financieros, salud, construcción e
telecomunicaciones y otros. Las empresas representadas en el estudio fueron tanto compañías
privadas 65%, como publicas 35%. Los daños causados a las compañías que operan en el país
han representado un alto costo para la sociedad colombiana, no solo en términos de daño
económico, sino también en la desaparición de empresas y en consecuencia, en la afectación en el
bienestar de miles de familias que han sido perjudicadas por la desaparición de sus empleos.
Para KPMG, 7 de cada 10 empresas que operan en Colombia han padecido al menos un
fraude en los 12 meses anteriores a la emisión del informe. En el 2013, el costo estimado por
crímenes económicos fue de 3600 millones de dólares, es decir el 1% del PIB nacional.
La incidencia de los crímenes económicos está directamente asociada con la capacidad
que tengan las compañías para prevenir, detectar y responder ante actividades ilícitas, sean estos
deliberados o auténticos casos fortuitos. Por esto, la importancia que tiene para las compañías
contar con mecanismos institucionalizados de la administración de riesgos de fraude. Según el
informe, el 70% de los crímenes económicos (incluyendo sus diferentes tipologías) han sido
realizados por empleados de las propias compañías, causando daños económicos cercanos a los
3.600 millones de USD en el 2013. El 39% de los ataques del cibercrimen se detectaron
accidentalmente.
Dentro de la tipología de crímenes económicos en Colombia, el resultado del análisis en
términos de incidencia, fraude o número de ilícitos experimentados en el último año, se inicia con
la malversación de activos, siendo el crimen más común con un 46%. En segundo lugar, está la
corrupción con un 31%, en tercer lugar, el cibercrimen con un 13% y como último, el fraude
Para el caso del cibercrimen, este ha sido el tipo de crimen económico que ha tomado más
fuerza en los últimos años previos al 2013, convirtiéndose en una actividad criminal definida en
contra de las empresas colombianas generando un daño económico cercano a los 550 millones de
dólares.
[image:14.612.113.467.228.491.2]Para el caso del cibercrimen, el informe ha definido seis causas comunes a saber:
Figura 2: Causas comunes en el cibercrimen
Al respecto llama la atención una novedosa modalidad de atacantes cibernéticos: se trata
de organizaciones con la preparación, recursos y tiempo para estudiar y conocer bien las
debilidades de sus potenciales blancos. Muchas veces este tipo de atacante puede infiltrar la
organización a través de la identificación de los puntos vulnerables de la seguridad informática e
incluso sembrar algún dispositivo que permita el acceso y ataque remoto. Co u % la deslealtad
de los e pleados po lo
que el peligro en muchos casos se encuentra dentro
de las mismas organizaciones.
Fallas en la seguridad tecnológica
Inadecuada disposición del
activo Fallas de seguridad física.
Robo de dispositivos móviles
Los mecanismos de detección del cibercrimen se establecen en cuatro categorías:
o Accidentalmente.
o Por control interno.
o Denuncia.
o Autoridades regulatorias y auditoria externa, lo que evidencia la inefectiva actividad de seguridad que impera en las compañías que operan en Colombia, concluye (KPMG,
2013).
De acuerdo con la encuesta, la implementación de mecanismos de prevención de crímenes
económicos permite reducir los riesgos hasta en un 70%, a través de un adecuado sistema de
administración de riesgos y una estructura sólida de gobierno corporativo, en la cual, todos (la
junta directiva, el comité de auditoría, la gerencia y la auditoría interna) deben desempeñar un
papel importante en el proceso de supervisión y monitoreo. Como se detalla en el informe de la
encuesta, una vez que exista una estructura deseable, los ejemplos de un programa integral de
administración de riesgo de fraude se dividen comúnmente en tres, como se puede apreciar en la
Figura 3: Programa integral de administración de riesgo de fraude. Fuente: tomado de (KPMG, 2013)
Lastimosamente en Colombia la cultura de las empresas en general sigue siendo más
reactiva que preventiva, por lo que la identificación y mitigación de los riesgos de fraudes y
conductas impropias son principalmente áreas de oportunidad que tienen las empresas
colombianas para mejorar su competitividad en el futuro inmediato.
Las organizaciones suelen poner demasiado énfasis en la tecnología especializada para
brindar seguridad, pero, si esta tecnología no es aplicada convenientemente o si las personas que
están a cargo de dicha tecnología no la ejecutan correctamente, su vulnerabilidad podría incluso
llegar a incrementarse. Ninguna tecnología por sí misma puede disminuir el impacto del factor
humano y la debida diligencia de implantar y operar correctamente los mecanismos de seguridad
Para KPMG, estos son los aspectos a considerar dentro de las conductas del cibercrimen:
a) Las Amenazas Persistentes Avanzadas
Son grupos organizados con la capacidad tecnológica y económica que incursionan de forma
sigilosa y mantienen su presencia indefinidamente en los sistemas de información internos de las
entidades, con objeticos claramente definidos.
Una amenaza persistente avanzada puede definirse también a partir de sus componentes
esenciales, como son:
AMENAZA: Aquí, el atacante tiene la intención y la capacidad de obtener acceso a
información confidencial almacenada electrónicamente.
PERSISTENTE: La naturaleza persistente y continua de la amenaza hace que sea difícil
prevenir su acceso a la red de computadores. Una vez el atacante ha obtenido acceso
exitosamente es difícil removerlo.
AVANZADA: El atacante tiene la habilidad de evadir la detección, así como la capacidad
de obtener y mantener el acceso a redes bien protegidas y a la información confidencial
contenida en ellas. Generalmente se adapta fácilmente y cuenta con buenos recursos
tecnológicos y económicos.
b) Fases de una Amenaza Persistente Avanzada
1. Reconocimiento, lanzamiento e infección: El atacante efectúa un reconocimiento de su
objetivo, identifica sus vulnerabilidades, lanza el ataque e infecta los sistemas de
2. Control, actualización, enumeración y persistencia. El atacante controla los sistemas de
información infectados, actualiza o adiciona sus programas de control, se extiende a otras
máquinas, enumera y recolecta los datos seleccionados.
3. Extracción y compromiso: El atacante extrae la información de los sistemas de
información a la red objetivo y la entrega a quien financia el ataque, la vende y
posteriormente, demanda un rescate para evitar su publicidad e incluso comparte y
comercia la información necesaria para que otros tengan acceso a la red.
Las compañías que operan en Colombia enfrentan el reto de consolidar sus negocios y
potenciar su prestigio. La confianza que proyecten a sus clientes, inversionistas y socios
estratégicos serán fundamentales para lograr estos objetivos. Su principal enemigo es el riesgo de
ser víctimas de crímenes económicos que minen su patrimonio e imagen corporativa.
[image:18.612.77.523.538.681.2]El nivel de incidencia de fraudes reportados en este estudio, especialmente los atribuibles a la alta dirección, es una clara señal de que es necesario reforzar su capacidad de control y gobierno corporativo. Por esto se deben asumir estrategias administrativas de riesgos de fraude que sean efectivas y orientadas a la empresa. Las actividades, mecanismos y controles tienen tres objetivos: (KPMG, 2013, pág. 1).
4. Normatividad colombiana sobre Ciberseguridad y Ciberdefensa.
4.1 Historia normativa de la seguridad informática en Colombia.
Aquí mencionaremos la normatividad colombiana frente a temas de seguridad
informática, protección de la información y de los datos, donde se preservan integralmente los
sistemas que utilizan las tecnologías de la información y las comunicaciones.
Como primer antecedente encontramos en la Constitución Nacional, el Art. 15
(Constitución Política de Colombia, 1991) que expresa que todas las personas tienen derecho a su
intimidad personal, familiar y a su buen nombre y que el estado debe respetarlos y hacerlos
respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se
hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas. En
la recolección, tratamiento y circulación de datos se respetarán la libertad y demás garantías
consagradas en la Constitución.
La ley 527 de 1999 () define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, establece las entidades de certificación. Será
aplicable a todo tipo de información en forma de mensaje de datos, salvo en los siguientes casos:
En las obligaciones contraídas por el estado colombiano en virtud de convenios o tratados
internacionales. En las advertencias escritas que por disposición legal deban ir necesariamente
impresas en cierto tipo de productos en razón al riesgo que implica su comercialización, uso o
consumo. (Alcaldía de Bogotá, 1999)
La ley 962 de 2005 (Alcaldía de Bogotá, 2005) tiene por objeto facilitar las relaciones de los particulares con la administración pública, de tal forma que las actuaciones que deban surtirse
de conformidad con los principios establecidos en los artículos 83, 84, 209 y 333 de la Carta
Política.
Por tal razón, son de obligatoria observancia los siguientes principios rectores de la
política de racionalización, estandarización y automatización de trámites que detalla la ley 962 de 2005: Sobre la cual se dictan disposiciones sobre racionalización de trámites y procedimientos administrativos de los organismos y entidades del Estado y de los particulares que ejercen
funciones públicas o prestan servicios públicos. Esta Ley prevé el incentivo del uso de medios
tecnológicos integrados para disminuir los tiempos y costos de realización de los trámites por
parte de los administrados. (Senado de la República, 2005)
Ley 1150 de 2007, denominada Ley de Seguridad de la información electrónica en contratación en línea. En esta Ley se introducen medidas para la eficiencia y la transparencia en
la Ley 80 de 1993 (Alcaldía de Bogotá, 1993) y se dictan otras disposiciones generales sobre la contratación con recursos públicos. Específicamente, se establece la posibilidad de que la
administración pública expida actos administrativos y documentos y haga notificaciones por
medios electrónicos, para lo cual prevé el desarrollo del Sistema Electrónico para la Contratación
Pública, SECOP. (Senado de la República, 2007)
La Ley 1266 del 2008 tiene por objeto desarrollar el derecho constitucional que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se hayan recogido
sobre ellas en bancos de datos y los demás derechos, libertades y garantías constitucionales
relacionadas con la recolección, tratamiento y circulación de datos personales a que se refiere el
artículo 15 de la Constitución Política, así como el derecho a la información establecido en el
y crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras
disposiciones. (Superintendenccia de Industria y Comercio, 2008)
La Ley 1273 del 2009, denominada Ley de la protección de la información y de los datos. Cuida los sistemas informáticos de los atentados contra la confidencialidad, la integridad y la
disponibilidad de los datos. Regula el acceso abusivo a un sistema informático, obstaculización
ilegitima de un sistema informático, intercepción de datos informáticos, daños informáticos, uso
de software malicioso, violación de datos personales, y suplantación de sitios web para capturar
[image:21.612.66.559.471.710.2]datos personales. A continuación, veremos más en detalle esta ley. (Alcaldía de Bogotá, 2009)
Tabla 1. Ley 1273 del 2009. Fuente: elaboración propia basado en (CONGRESO DE
COLOMBIA, 2009)
LEY 1273 DEL 2009
De los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos
Acceso abusivo a un sistema informático
El que, sin autorización o por fuera de lo acordado, acceda en todo o
en parte a un sistema informático protegido o no con una medida de
seguridad, o se mantenga dentro del mismo en contra de la voluntad
de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de
prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en
multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.
El que, sin estar facultado para ello, impida u obstaculice el
Obstaculización ilegítima de sistema informático o red de telecomunicación
datos informáticos allí contenidos, o a una red de
telecomunicaciones incurrirá en pena de prisión de cuarenta y ocho
(48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios
mínimos legales mensuales vigentes, siempre que la conducta no
constituya delito sancionado con una pena mayor.
Interceptación de datos informáticos
El que, sin orden judicial previa intercepte datos informáticos en su
origen, destino o en el interior de un sistema informático, o las
emisiones electromagnéticas provenientes de un sistema informático
que los transporte incurrirá en pena de prisión de treinta y seis (36) a
setenta y dos (72) meses.
Daño Informático
El que, sin estar facultado para ello, destruya, dañe, borre, deteriore,
altere o suprima datos informáticos, o un sistema de tratamiento de
información o sus partes o componentes lógicos, incurrirá en pena
de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en
multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.
Uso de software malicioso
El que, sin estar facultado para ello, produzca, trafique, adquiera,
distribuya, venda, envíe, introduzca o extraiga del territorio nacional
software malicioso u otros programas de computación de efectos
dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a
noventa y seis (96) meses y en multa de 100 a 1.000 salarios
mínimos legales mensuales vigentes.
El que, sin estar facultado para ello, con provecho propio o de un
Violación de datos personales
envíe, compre, intercepte, divulgue, modifique o emplee códigos
personales, datos personales contenidos en ficheros, archivos, bases
de datos o medios semejantes, incurrirá en pena de prisión de
cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100
a 1000 salarios mínimos legales mensuales vigentes.
Suplantación de sitios web para capturar datos personales
El que, con objeto ilícito y sin estar facultado para ello, diseñe,
desarrolle, trafique, venda, ejecute, programe o envíe páginas
electrónicas, enlaces o ventanas emergentes, incurrirá en pena de
prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en
multa de 100 a 1.000 salarios mínimos legales mensuales vigentes,
siempre que la conducta no constituya delito sancionado con pena
más grave.
Circunstancias de agravación punitiva
Las penas imponibles de acuerdo con los artículos descritos en este
título, se aumentarán de la mitad a las tres cuartas partes si la
conducta se cometiere:
Sobre redes o sistemas informáticos o de comunicaciones
estatales u oficiales o del sector financiero, nacionales o
extranjeros.
Por servidor público en ejercicio de sus funciones.
Aprovechando la confianza depositada por el poseedor de la
información o por quien tuviere un vínculo contractual con éste.
Revelando o dando a conocer el contenido de la información en
Obteniendo provecho para sí o para un tercero.
Con fines terroristas o generando riesgo para la seguridad o
defensa nacional.
Utilizando como instrumento a un tercero de buena fe.
Si quien incurre en estas conductas es el responsable de la
administración, manejo o control de dicha información, además se
le impondrá hasta por tres años la pena de inhabilitación para el
ejercicio de profesión relacionada con sistemas de información
procesada con equipos computacionales.
De los atentados informáticos y otras infracciones
Hurto por medios
informáticos y semejantes
El que, superando medidas de seguridad informáticas, manipule
un sistema informático, una red de sistema electrónico, telemático
u otro medio semejante, o suplantando a un usuario ante los
sistemas de autenticación y de autorización establecidos.
Transferencia no consentida de activos
El que, con ánimo de lucro y valiéndose de alguna manipulación
informática o artificio semejante, consiga la transferencia no
consentida de cualquier activo en perjuicio de un tercero, siempre
que la conducta no constituya delito sancionado con pena más
grave, incurrirá en pena de prisión de cuarenta y ocho (48) a
La ley 1341 de 2009 define los principios y conceptos sobre la sociedad de la información y la organización de las Tecnologías de la Información y las Comunicaciones –TIC–, crea la
Agencia Nacional de Espectro y se dictan otras disposiciones. Esta ley determina el marco
general para la formulación de las políticas públicas que regirán el sector de las tecnologías de la
información y las comunicaciones, su ordenamiento general, el régimen de competencia, la
protección al usuario. Igualmente lo concerniente a la cobertura, calidad del servicio, promoción
de la inversión en el sector y el desarrollo de estas tecnologías, el uso eficiente de las redes y del
espectro radioeléctrico, así como las potestades del Estado en relación con la planeación, la
gestión, la administración adecuada y eficiente de los recursos, regulación, control y vigilancia
del mismo y facilitando el libre acceso y sin discriminación de los habitantes del territorio
nacional a la Sociedad de la Información. (Alcaldía de Bogotá, 2009)
La ley 1480 de 2011 en el artículo 5, incluye en la definición de las ventas a distancia, aquellas que se realizan a través del comercio electrónico. El artículo 26 de esta Ley, consagra
que la SIC determinará las condiciones mínimas bajo las cuales operar la información pública de
precios de los productos que se ofrezcan a través de cualquier medio electrónico.
Adicionalmente, el artículo 27 establece que el consumidor tiene derecho a exigir a costa del
productor o proveedor constancia de toda operación de consumo que realice. La factura o su
equivalente, expedida por cualquier medio físico, electrónico o similar podrán hacer las veces de
constancia. (Alcaldía de Bogotá, 2011)
La Ley 1581 de 2012, reglamentada parcialmente por el Decreto 1377 del 2013 y denominada Ley de protección de datos personales, determina que todas las personas tienen el
derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en
refiere el artículo 15 de la Constitución Política, así como el derecho a la información consagrado
en el artículo 20 de la misma. (Alcaldía de Bogotá, 2012)
De acuerdo con la mencionada Ley, los principios sobre protección de datos son
aplicables a todas las bases de datos, con los límites que se disponen allí mismo, así:
Tabla 2. Principios para el tratamiento de datos personales. Fuente: elaboración propia basado
en (CONGRESO DE COLOMBIA, 2012)
Principio de legalidad en materia de Tratamiento de datos
El tratamiento a que se refiere la presente ley es una
actividad reglada que debe sujetarse a lo establecido en ella
y en las demás disposiciones que la desarrollen
Principio de finalidad
El tratamiento debe obedecer a una finalidad legítima de
acuerdo con la Constitución y la Ley, la cual debe ser
informada al Titular.
Principio de libertad
El tratamiento sólo puede ejercerse con el consentimiento,
previo, expreso e informado del Titular. Los datos
personales no podrán ser obtenidos o divulgados sin previa
autorización, o en ausencia de mandato legal o judicial que
releve el consentimiento.
Principio de veracidad o calidad
La información sujeta a tratamiento debe ser veraz,
completa, exacta, actualizada, comprobable y comprensible.
Se prohíbe el tratamiento de datos parciales, incompletos,
Principio de transparencia
En el tratamiento debe garantizarse el derecho del titular a
obtener del responsable del tratamiento o del encargado del
tratamiento, en cualquier momento y sin restricciones,
información acerca de la existencia de datos que le
conciernan.
Principio de acceso y circulación restringida
El tratamiento se sujeta a los límites que se derivan de la
naturaleza de los datos personales, de las disposiciones de la
presente ley y la Constitución. En este sentido, el
tratamiento sólo podrá hacerse por personas autorizadas por
el titular y/o por las personas previstas en la presente ley.
Principio de seguridad
La información sujeta a tratamiento por el responsable del
tratamiento o encargado del tratamiento a que se refiere la
presente ley, se deberá manejar con las medidas técnicas,
humanas y administrativas que sean necesarias para otorgar
seguridad a los registros evitando su adulteración, pérdida,
consulta, uso o acceso no autorizado o fraudulento
Todas las personas que intervengan en el tratamiento de
datos personales que no tengan la naturaleza de públicos
están obligadas a garantizar la reserva de la información,
inclusive después de finalizada su relación con alguna de las
Principio de confidencialidad
realizar suministro o comunicación de datos personales
cuando ello corresponda al desarrollo de las actividades
autorizadas en la presente ley y en los términos de la misma
La Ley 581 de 2012:
“obliga a todas las entidades públicas y empresas privadas del país a revisar el uso de los datos personales contenidos en sus sistemas de información y replantear sus políticas de manejo de información y fortalecimiento de sus herramientas, como entidad responsable del tratamiento. Igualmente se estableció en el artículo 28 un plazo de seis meses para la implementación y adaptación de políticas por parte de las empresas que hagan las veces de encargados y/o responsables del tratamiento de datos” (Certicámara, 2013).
La ley 1621 de 2013 tiene por objeto fortalecer el marco jurídico que permite a los organismos que llevan a cabo actividades de inteligencia y contrainteligencia cumplir
adecuadamente con su misión constitucional y legal. Así mismo, esta Ley establece los límites y
fines de las actividades de inteligencia y contrainteligencia, los mecanismos de control y
supervisión y la regulación de la protección a las bases de datos. En el marco de la Ley hay
diversas autoridades que manejan inteligencia tales como UIAF, POLFA, DIPOL, organismos
con función de policía judicial. (Comunicaciones C. d., 2015).
4.1.1 Estructura normativa actual de políticas de Ciberseguridad y Ciberdefensa en Colombia.
Colombia logró un muy buen resultado en temas de regulación para la prevención y
delitos informáticos. De acuerdo con el ranking global de la UIT, Colombia está entre los mejores
países del mundo en manejo de ciberseguridad, que ubica al país en el quinto lugar en el ranking
de las Américas por encima de Chile y México y ocupa el noveno lugar en el ranking mundial
con países como Francia, España, Egipto y Dinamarca (MINTIC, 2015).
Conforme al ranking presentado, el país debe adoptar nuevas medidas que le ayuden a
subir a los primeros lugares de estos estudios. Uno de los retos más grandes es crear conciencia
entre los usuarios de la información y las empresas colombianas acerca de la importancia de
conocer y comprender el contexto de los delitos informáticos y la normatividad existente en
Colombia sobre la protección de la información.
4.2 Iniciativas y planes de acción contra el cibercrimen impulsados por el estado
colombiano
Políticas de Ciberseguridad y Ciberdefensa en Colombia
Los gobiernos de Colombia han apostado de manera decidida por la defensa nacional
digital desde el comienzo del siglo, mediante la formulación de diferentes iniciativas en los
sectores de la sociedad colombiana y la concientización del impacto de esta problemática.
En el año 2011 por medio del CONPES 3701, Colombia adoptó una estrategia integral de
ciberseguridad y ciberdefensa, convirtiéndose así en el primer estado de América Latina en
implementar un esquema de esta envergadura. El CONPES 3701 concentró su programa en seis
ejes estratégicos, de acuerdo como fue presentado en el II foro de ciberseguridad y Ciberdefensa
1. Gobernanza: Alternativas que le permitan al Estado Colombiano, articular y armonizar su orientación, integrar actores y consolidar esfuerzos en aspectos relacionados con la
Ciberseguridad y Ciberdefensa.
2. Desarrollo de capacidades: fortalecimiento de las instituciones existentes, del recurso humano, los procesos, la tecnología y las habilidades en Ciberseguridad y Ciberdefensa,
con un enfoque de coordinación y cooperación para permitir que el país pueda
beneficiarse de las ventajas políticas, económicas y sociales que ofrece un ciberespacio
seguro y garantizar la Defensa y Seguridad Nacional.
3. Generación de una cultura de ciberseguridad y ciberdefensa: implementación de planes y programas que permitan a los actores y responsables de la Ciberseguridad y
Ciberdefensa, prevenir y desarrollar habilidades de respuesta ante amenazas y ataques de
naturaleza cibernética mediante el uso de nuevas tecnologías de la información y
comunicaciones, procesos y procedimientos establecidos en la materia.
4. Infraestructuras críticas cibernéticas nacionales: protección y defensa de la
infraestructura crítica cibernética nacional, se considera fundamental y demanda no solo
la participación de los propietarios y/o operadores de dicha infraestructura, sino también
requiere el concurso del gobierno, la academia, las Fuerzas Militares, Policía Nacional y
de los sectores público y privado.
5. Marco legal y regulatorio: Las leyes y normativas actuales y futuras así como los convenios internacionales a los cuales la República de Colombia pertenezca o se adhiera,
apalancarán y facultarán la ejecución, la legitimidad y el marco procesal requerido,
relacionado con Ciberseguridad y Ciberdefensa.
6. Cooperación y diplomacia en el ciberespacio: Permite establecer canales de
otros países, con organismos nacionales e internacionales, así como fortalecer y estrechar
los lazos diplomáticos en relación con el adecuado uso y aprovechamiento del
ciberespacio.
Una vez definidos los ejes estructurales de los lineamientos sobre ciberseguridad y
ciberdefensa para el país, los objetivos que busca el CONPES 3701 se definen de la siguiente
forma, según documento publicado por el (Ministerio de Tecnologías de la Información y las
Comunicaciones, 2011):
Generales: Fortalecer las capacidades del Estado para enfrentar las amenazas que atentan contra su seguridad y defensa en el ámbito cibernético (ciberseguridad y Ciberdefensa), creando el
ambiente y las condiciones necesarias para brindar protección en el ciberespacio.
Específicos:
a. Implementar instancias apropiadasprevenir, coordinar, atender, controlar, generar
recomendaciones y regular los incidentes o emergencias cibernéticas para afrontar las
amenazas y los riesgos que atentan contra la ciberseguridad y Ciberdefensa nacional.
Este objetivo permitirá conformar organismos con la capacidad técnica y operativa
necesaria para la defensa y seguridad nacional en materia cibernética. Para alcanzarlo se
hace necesario que el Gobierno Nacional implemente las siguientes instancias:
o Una Comisión Intersectorial encargada de fijar la visión estratégica de la gestión de la información, así como de establecer los lineamientos de política respecto de la gestión
de la infraestructura tecnológica (hardware, software y comunicaciones), información
o El Grupo de Respuesta a Emergencias Cibernéticas de Colombia – colCERT será el organismo coordinador a nivel nacional en aspectos de ciberseguridad y ciberdefensa.
Será un grupo del Ministerio de Defensa Nacional, integrado por funcionarios civiles,
personal militar y en comisión de otras entidades.
o El Comando Conjunto Cibernético de las Fuerzas Militares – CCOC estará en cabeza del Comando General de las Fuerzas Militares, quien podrá delegar sus funciones
dentro de las Fuerzas Militares dependiendo de las especialidades existentes en el
sector.
o El Centro Cibernético Policial – CCP: Estará encargado de la ciberseguridad del territorio colombiano, ofreciendo información, apoyo y protección ante los delitos
cibernéticos.
b. Brindar capacitación especializada en seguridad de la información y ampliar las líneas de
investigación en ciberdefensa y ciberseguridad.
c. Fortalecer la legislación en materia de ciberseguridad y ciberdefensa, la cooperación
internacional y adelantar la adhesión de Colombia a los diferentes instrumentos
internacionales en esta temática.
Este documento busca generar lineamientos de política en ciberseguridad y ciberdefensa
orientados a desarrollar una estrategia nacional que contrarreste el incremento de las amenazas
informáticas que afectan significativamente al país. Adicionalmente, recoge los antecedentes
nacionales e internacionales, así como la normatividad del país en torno al tema. La problemática
central se fundamenta en que la capacidad actual del Estado para enfrentar las amenazas
A partir de ello se establecen las causas y efectos que permitirán desarrollar políticas de
prevención y control ante el incremento de amenazas informáticas. Para la aplicabilidad de la
estrategia se definen recomendaciones específicas a desarrollar por entidades involucradas directa
e indirectamente en esta materia. A continuación, veremos algunos de los objetivos planteados
allí.
La Cámara Colombiana de Informática y Telecomunicaciones (CCIT) se estableció como
centro de coordinación de atención de incidentes de seguridad informática colombiano, en aras de
fomentar el contacto con el sector privado, particularmente con los principales proveedores de
internet en nuestro país.
El Ministerio de la Información y las Telecomunicaciones (TIC) ha llevado a cabo campañas
de sensibilización y conciencia en toda la población, a través de la campaña En TIC confió.
Adicionalmente, el Ministerio de Defensa ha trasmitido la inclusión de cátedras relacionadas con
la Defensa Nacional Digital en todas las escuelas de formación de las Fuerzas Militares y de la
Policía. Más aún, las universidades y otras instituciones educativas colombianas se han adherido
a este plan, al implementar un amplio abanico de programas académicos y de capacitación sobre
la seguridad cibernética y los delitos cibernéticos.
Legislación y Cooperación Internacional
En cuanto al progreso institucional e integración internacional, el Gobierno Nacional de
Colombia también ha evolucionado a buen ritmo. En lo referente a legislación, el Ministerio de
Justicia continúa revisando el Código Penal, específicamente para el tema de tipificación actual
Gobierno en Línea, generó una serie de directrices en temas de seguridad de la información
basadas en estándares internacionales, que deberán ser implementadas por las entidades del sector
público. Por lo cual dentro de las expectativas del CONPES 3701, se establecieron en el eje de
cooperación y diplomacia los siguientes lineamientos, explicados así (Universidad de los Andes ,
2015):
1. Desarrollar un marco para el establecimiento de alianzas con partes interesadas.
2. Desarrollar e implementar una agenda estratégica de cooperación nacional.
3. Desarrollar e implementar una agenda estratégica de cooperación internacional.
4. Implementar estrategias para el desarrollo de la Diplomacia en el Ciberespacio.
5. Adhesión a redes de intercambio de información, reporte de incidentes e investigación de
ciberseguridad y ciberdefensa.
Retos de la Defensa Nacional Digital en Colombia
Pese a los importantes avances mencionados anteriormente, persisten falencias y muchas
tareas pendientes que impiden responder de manera eficiente al elevado nivel de vulnerabilidad
del país ante estas nuevas amenazas cibernéticas. Por tanto, surge la necesidad de implementar
medidas más efectivas que pongan una barrera al incremento de la delincuencia informática por
medio de cuatro ejes fundamentales en los cuales nuestro país debería concentrarse, a saber:
1. Este eje consiste en mejorar la institucionalidad nacional ya que, si bien el CONPES 3701
representó un gran progreso, actualmente los esfuerzos de Colombia para abordar este
tema encuentran un techo por la falta de una visión integral a largo plazo, así como la
2. Resulta definitivo implementar una nueva regulación, eficiente y ágil sobre la
investigación de los delitos informáticos. En este frente, la Misión de la OEA aconseja la
creación de unidades especializadas de fiscales con preparación específica para la
investigación y el ejercicio de la acción penal, respecto de los ciberdelitos.
3. En tercera instancia y pese a que existen numerosos avances en materia de cooperación
internacional, Colombia todavía está bastante rezagado en la adhesión a los diferentes
instrumentos internacionales. De esta forma, urge la necesidad de reformar la legislación
colombiana, de tal forma que se armonice con la Convención de Budapest, especialmente
en lo relacionado a las cuestiones de Derecho Procesal. Adicionalmente y con el fin de
facilitar el intercambio rápido de datos, Colombia deberá adherirse al sistema I-24/7, el
cual brinda acceso a todas las bases de datos criminales de la INTERPOL.
4. Nuestro país afronta el reto de crear una concientización en su población sobre la
dimensión de esta problemática en la actualidad. Como se mencionó en la parte
introductoria, la ciberdelincuencia es una amenaza cada vez más latente en nuestra
sociedad y afecta por igual a grandes industrias, entidades gubernamentales y personas
pertenecientes al ciberespacio. Así, se debe incorporar una generalizada cultura de
seguridad de la información basada en la capacidad de todas las personas para gobernar y
administrar los incidentes que se presenten día a día.
Otra iniciativa del gobierno colombiano fue la de organizar una Comisión de Expertos
Internacionales para evaluar el estado de la seguridad cibernética del país, con el apoyo de la
Organización de los Estados Americanos (OEA) en el 2014, para hacer de las tecnologías de
información y comunicaciones una parte integral del plan de desarrollo del país. Se visitaron
escucharon presentaciones de actores relevantes en seguridad cibernética en Colombia. Los
expertos internacionales prepararon una serie de recomendaciones para ser tenidas en cuenta por
el gobierno de Colombia.
La Comisión Internacional de Expertos Internacionales brindó su experiencia en políticas de
seguridad cibernética, marcos institucionales, respuesta a incidentes de seguridad cibernética,
investigación y legislación de delitos cibernéticos, ciberdefensa y cooperación internacional. Las
recomendaciones de los expertos fueron redactadas en sesiones privadas, garantizando un análisis
equilibrado e imparcial de las necesidades y pasos a seguir que deberían ser considerados por el
gobierno colombiano. Aunque la OEA organizó esta comisión internacional de expertos, este
documento no refleja posición u opinión alguna de esta organización internacional.
Se creó un Modelo de Seguridad de la Información para la Estrategia de Gobierno en Línea
que hace referencia al conjunto de políticas estratégicas que soportan objetivos de Gobierno en
Línea como la protección de información del individuo, la credibilidad y confianza en el
Gobierno en Línea.
Este establece como elementos fundamentales de la seguridad de la información para los
organismos gubernamentales:
1) La disponibilidad de la información y los servicios.
2) La integridad de la información y los datos.
3) Confidencialidad de la información” (Comunicaciones F. d., 2011)
Según el Diario Oficial No. 48.813 de 6 de junio de 2013 del Ministerio de Defensa
Nacional, por la cual se adiciona la Resolución número 127 del 18 de enero de 2012 se crean y
de Respuesta a Emergencias Cibernéticas de Colombia - ColCERT, el cual tiene como
responsabilidad central la coordinación de la ciberseguridad y ciberdefensa nacional, la cual
estará enmarcada dentro del Proceso Misional de Gestión de la Seguridad y Defensa del
Ministerio de Defensa Nacional.
Su propósito principal es la coordinación de las acciones necesarias para la protección de la
infraestructura crítica del Estado colombiano frente a emergencias de ciberseguridad que atenten
o comprometan la seguridad y defensa nacional. Sus objetivos son:
Coordinar y asesorar a CSIRT's, Centros de Coordinación Seguridad Informática
Colombia y entidades públicas, privadas y la sociedad civil para responder ante incidentes
informáticos.
Ofrecer servicios de prevención ante amenazas informáticas, respuesta frente a incidentes informáticos, de información, sensibilización y formación en materia de seguridad
informática.
Actuar como punto de contacto internacional con sus homólogos en otros países, así como con organismos internacionales involucrados en esta técnica.
Promover el desarrollo de capacidades locales/sectoriales, así como la creación de CSIRT's sectoriales para la gestión operativa de los incidentes de ciberseguridad en las
infraestructuras críticas nacionales, el sector privado y la sociedad civil.
Desarrollar y promover procedimientos, protocolos y guías de buenas prácticas y
recomendaciones de ciberdefensa y ciberseguridad para las infraestructuras críticas de la
nación en conjunto con los agentes correspondientes y velar por su implementación y
Coordinar la ejecución de políticas e iniciativas público-privadas de sensibilización y formación de talento humano especializado, relacionadas a la ciberdefensa y
ciberseguridad.
Apoyar a los organismos de seguridad e investigación del Estado para la prevención e investigación de delitos donde medien las tecnologías de la información y las
comunicaciones.
Fomentar un sistema de gestión de conocimiento relativo a la ciberdefensa y ciberseguridad, orientado a la mejora de los servicios prestados por el colCERT.
También se creó el Centro Cibernético Policial. Es la dependencia de la Dijín encargada del
desarrollo de estrategias, programas, proyectos y demás actividades requeridas en materia de
investigación criminal contra los delitos que afectan la información y los datos. En Bogotá se
encuentra el núcleo del CCP7 desde el cual opera el laboratorio de informática forense más
grande de Colombia. El CPP también cuenta con ocho laboratorios de informática forense
distribuidos a nivel nacional y 25 unidades de delitos informáticos capacitadas y especializadas
en atacar el cibercrimen. Las funciones que desarrollará serán las siguientes:
Proteger a la ciudadanía de las amenazas y/o delitos cibernéticos.
Responder operativamente ante los delitos cibernéticos, desarrollando labores coordinadas
de prevención, atención, investigación y de apoyo a la judicialización de los delitos
informáticos en el país.
Dar asesoría sobre vulnerabilidades y amenazas en sistemas informáticos.
Divulgar información a la ciudadanía, que permita prevenir lo concerniente a pérdida de
disponibilidad, integridad y/o confidencialidad de la información.
Apoyar e investigar en coordinación con el colCERT las vulnerabilidades, amenazas e
incidentes informáticos que afecten la seguridad de la infraestructura informática crítica
de la nación.
Fomentar la concienciación de políticas de seguridad cibernética en coordinación con los
actores involucrados.
Causas del delito informático en Colombia
En el panorama actual de la ciberseguridad nacional, se evidencias algunas causas por las que
las empresas de nuestro país no se encuentran debidamente preparadas para afrontar las amenazas
del cibercrimen, por lo que serán descritas a continuación:
- Vacíos importantes en la legislación
- Poca efectividad en el tratamiento procesal de los ciberdelincuentes.
- Desconocimiento del gobierno corporativo de muchas empresas, frente a los riesgos
derivados del cibercrimen, y por tanto adopción de esquemas débiles de ciberseguridad.
- Desconocimiento por parte del gobierno corporativo de las empresas, de los estándares
internacionales y de las buenas prácticas para gestionar en forma segura las tecnologías de
la información, los sistemas y la información corporativa.
- Alto apetito de riesgos del gobierno corporativo de muchas empresas frente a diferentes
afectada por este tipo de amenazas), circunstancia que aumenta su exposición a la
materialización de delitos informáticos.
- Presupuesto limitado de las empresas para implementar medidas de control eficaces para
afrontar los riesgos de cibercrimen y ciberseguridad.
- Aplicación de prácticas de seguridad insuficientes o ineficaces.
- Aumento y perfeccionamiento de las modalidades de estafa, según el capitán Miranda, las
más utilizadas son el Phishing, skimming, ransomware (encriptación de bases de datos e
información sensible), la carta nigeriana y la falsedad personal. (Infolaft , 2014)
Según la edición 67 de la revista publicada por INFOLAFT, el coronel Freddy Bautista señala
que
desafortunadamente no existe una política clara al interior de las organizaciones de carácter privado, y algunas públicas, acerca del manejo de la gestión de la seguridad de la información. Se ha encontrado en muchas ocasiones que los funcionarios o personas responsables de gestionar los datos en las áreas de sistemas, de garantizar la seguridad perimetral informática de las corporaciones y de las empresas en Colombia no conocen o no agotan las condiciones necesarias para blindar informáticamente a la empresa. (Infolaf, 2014, pág.1)
Adicionalmente resalta las siguientes causales de aumento en los casos detectados de
cibercrimen en las empresas colombianas:
- Presencia frecuente de delincuentes extranjeros en Colombia que traen técnicas utilizadas
en países de Europa del Este. Según datos que reposan en el CCP, dichos delincuentes
traen malware sofisticado y programas maliciosos que en algunos casos llegan incluso a
controlar remotamente los computadores de directivos o ejecutivos de áreas financieras,
- No hay políticas claras en las organizaciones privadas del país para el manejo de
dispositivos móviles, entre ellos las tabletas, los smartphones y los híbridos, por medio de
los cuales se viene manejando una gran cantidad de recursos e información y los cuales
generarían un gran riesgo en caso de extravío.
- Las empresas del sector privado prefieren no denunciar las estafas o extorsiones de las
que son víctimas, por el desconocimiento del proceso de la denuncia o para no evidenciar
falencias en su infraestructura tanto física como lógica y no generar una mala reputación o
una mala imagen ante sus clientes.
En el documento publicado por COLOMBIA DIGITAL que reúne las memorias del ''Foro
Amenazas y retos frente a la seguridad de sitios web'', se reconocen también como causas en la
fuga de datos:
o El hacking 35%
o Divulgación accidental 29%
o Robo o pérdida de un ordenador o unidad 27%
o Apropiación por parte del personal interno 6%
o Fraudes 2%
5. Tendencias y prácticas internacionales sobre seguridad informática.
5.1 Normatividad y convenios internacionales vigentes contra el Cibercrimen (Rango UIT)
La iniciativa de unión en contra del cibercrimen parte normativamente con la publicación
del Convenio de Budapest en el año 2001. Es el resultado de la reunión de los estados miembros
del Consejo de Europa, quienes encaminaron las iniciativas de entendimiento y cooperación
internacional en la lucha contra la ciberdelincuencia, incluyendo las medidas adoptadas por las
Naciones Unidas, la OCDE, la Unión Europea y el G8.
Dichos estados están convencidos de la necesidad de aplicar con carácter prioritario una política
penal encaminada a proteger a la sociedad frente a la ciberdelincuencia, mediante la adopción de
la legislación adecuada y el fomento de la cooperación internacional. Están conscientes de los
profundos cambios provocados por la digitalización, la convergencia y la globalización continua de las redes informáticas y preocupados por el riesgo de que las redes informáticas y la
información electrónica sean utilizadas para cometer delitos y de que las pruebas relativas a
dichos delitos sean almacenadas y transmitidas por medio de dichas redes. (Ministerio de
Relaciones Exteriores y Concejo de Europa, 2001, pág. 1)
Como se consigna en el convenio se reconoce la necesidad de una cooperación entre los
estados y el sector privado en la lucha contra la ciberdelincuencia. Se busca prevenir los actos
dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas
informáticos, redes y datos informáticos, así como el abuso contra dichos sistemas, redes y datos,
De la emisión del convenio contra la ciberdelincuencia firmado en Budapest quedaron en
firme una serie de artículos cuya intención principal era reunir conceptual y normativamente la
tipificación penal de los actos tecnológicos delictivos. A continuación, el detalle de estos:
Tabla 3. Convenio contra la ciberdelincuencia Budapest 2001. Fuente: elaboración propia
basado en Convenio sobre la ciberdelincuencia Budapest, 23.XI.2001
A. MEDIDAS QUE DEBERAN ADOPTARSE A NIVEL NACIONAL
DERECHO PENAL SUSTANTIVO
Delitos contra la confidencialidad, integridad
disponibilidad de los datos y sistemas informáticos
Cada Parte adoptará las medidas legislativas y de otro tipo que resulten
necesarias para tipificar como delito en su derecho interno la comisión
deliberada e ilegítima de los siguientes actos.
Acceso ilícito: Acceso deliberado e ilegítimo a la totalidad o a una parte de un sistema informático.
Interceptación ilícita: Interceptación deliberada e ilegítima, por medios técnicos, de datos informáticos comunicados en transmisiones
no públicas efectuadas al interior o exterior de un sistema informático.
Interferencia en los datos: Es lacomisión deliberada e ilegítima de actos que dañen, borren, deterioren, alteren o supriman datos
informáticos.
Interferencia en el sistema: Obstaculización grave, deliberada e ilegítima del funcionamiento de un sistema informático mediante la
introducción, transmisión, provocación de datos, borrado, deterioro,
A. MEDIDAS QUE DEBERAN ADOPTARSE A NIVEL NACIONAL
DERECHO PENAL SUSTANTIVO
Abuso de los dispositivos: Producción, venta, obtención para su utilización, importación, difusión u otra forma de puesta a disposición
de un dispositivo, incluido un programa informático, diseñado o
adaptado principalmente para cometer cualquiera de los delitos
previstos anteriormente.
Contraseña: Un código de acceso o datos informáticos similares que permitan tener acceso a la totalidad o a una parte de un sistema
informático con el fin de que sean utilizados para cometer cualquiera de
los delitos contemplados anteriormente.
La posesión de alguno de los elementos contemplados en los puntos
anteriores con el fin de que sean utilizados para cometer cualquiera de
los delitos previstos anteriormente.
Delitos informáticos
Falsificación informática: Introducción, alteración, borrado o
supresión de datos informáticos que dé lugar a datos no auténticos, con
la intención de que sean tenidos en cuenta o utilizados con efectos
legales como si se tratara de datos auténticos, con independencia de que
A. MEDIDAS QUE DEBERAN ADOPTARSE A NIVEL NACIONAL
DERECHO PENAL SUSTANTIVO
Fraude informático: Actos deliberados e ilegítimos que causen un perjuicio patrimonial a otra persona mediante:
Cualquier introducción, alteración, borrado o supresión de datos
informáticos.
Cualquier interferencia en el funcionamiento de un sistema
informático, con la intención fraudulenta o delictiva de obtener
ilegítimamente un beneficio económico para uno mismo o para
otra persona.
Delitos relacionados con el contenido
Delitos relacionados con la pornógrafa infantil (toda persona menor de
18 años, la parte podrá establecer un límite de edad inferior, que ser
como mínimo de 16 años)
Producción de pornografía infantil para ser difundida por medio
de un sistema informático.
Oferta o la puesta a disposición de pornografía infantil por
medio de un sistema informático.
Transmisión de pornografía infantil por medio de un sistema
informático,
Adquisición de pornografía infantil por medio de un sistema