1

1er FORO DE DISCUSION SOBRE1er FORO DE DISCUSION SOBRE

UNIVERSIDAD SANTIAGO DE CALICALI 2007

“Para una política frente a los delitos informáticos”

Prof. Dr. Rodolfo Daniel UICICH

““FRAUDE EN LA CONTRATACIFRAUDE EN LA CONTRATACIÓÓN N ELECTRELECTRÓÓNICA INTERNACIONALNICA INTERNACIONAL””

2

La trágica vida del Sr. Pérez

Procura un crédito ----- deudorAcceso ilegitimo a bases de datos

Desarrolla un informe --- modificación y destrucciónCracker

Adquiere sus equipos ----- se le destruyenSabotaje informático

Recibe un mail salvadorSu banco lo auxiliaráPhishing- pharming

3

ResponsabilidadResponsabilidad

PENAL

CIVIL contractual

extracontractual

Evolución de las valoraciones:

1era etapa) Bienes muebles e inmuebles

2da etapa) Siglo XX bienes registrables y no registrables

3era. etapa) Fines siglo XX y Siglo XXI, los bienes intangibles

“LA INFORMACIÓN”

4

CARACTERCARACTERÍÍSTICAS DE LOS DELITOS STICAS DE LOS DELITOS INFORMINFORMÁÁTICOSTICOS

Falta de tipificación.

Transnacionalidad de las conductas.

Falta de consenso internacional

La virtualidad de ciertas conductas

Innovaciones tecnológicas

Dificultades de localización

Falta de convenciones

5

DEFINICIDEFINICIÓÓN N dede DELITOS INFORMATICOSDELITOS INFORMATICOS

“Acciones típicas, antijurídicas y culpables que recaen sobre la información, atentando contra su integridad, confidencialidad o disponibilidad, en cualquiera de las fases que tienen vinculación con su flujo o tratamiento, contenida en sistemas informáticos de cualquier índole sobre los que operan las maniobras dolososas”. Según anteproyecto de Ley de Delitos Informáticos. Secretaria de Comunicaciones. Rep. Argentina.

“Conducta típica, antijurídica y culpable que atenta contra la

información en toda su dimensión y alcance” Uicich

“Es cualquier acto ilegal en relación con el cual, el conocimiento de la tecnología informática sea esencial para su comisión, investigación y persecución.”Dpto. de Justicia de EEUU.

6

PERFIL CRIMINOLOGICOPERFIL CRIMINOLOGICO

HACKERS: acceden

CRACKERS: inutilizan los sistemas de protección

PHREAKERS: fraude en telefonía GUANTE BLANCO

ELEVADO NIVEL DE CONOCIMIENTO

VINCULADO CON LA VICTIMA

SUJETOS DEL DELITO INFORMSUJETOS DEL DELITO INFORMÁÁTICOTICO

ACTIVO: quien realiza la conducta. El nivel intelectual supera al

común. Empleados.

PASIVO: bancos, compañías financieras, organismos del

Estado, organismo recaudadores.

7

CONDUCTASCONDUCTAS

•Es el punto inicial.

•Personas dentro de una organización (autorizadas o no).

•Personas fuera de una organización (autorizadas o no).

•Es el más frecuente.

•En general lo cometen los hackers.

ACCESO ILEGITIMO AL SISTEMA NFORMACCESO ILEGITIMO AL SISTEMA NFORMÁÁTICOTICO

8

FRAUDE INFORMFRAUDE INFORMÁÁTICOTICO

Son delitos con contenido patrimonial.

Manipulando datos tanto de entrada como de salida.

Manipulando programas

La conducta disvaliosa se conforma con dos elementos :

1) El “ánimo de lucro”

2) El “perjuicio patrimonial”

Logrado a través de una transferencia patrimonial no consentida.

El ánimo de lucro lo diferencia de otras figuras. No basta el solo

perjuicio patrimonial.

9

PIRATERPIRATERÍÍAA

PIRATERÍA DEL SOFTWARE:

Apropiarse de ideas u obras ajenas, reproducirlas y lucrar con su

venta.

TIPOS:

1. 1) Corporativas: cuando empresas instalan en las PCs software

sin licencia.

2. 2) Profesional: obtienen copias y venden.

3) Hogareña.

10

SABOTAJE INFORMSABOTAJE INFORMÁÁTICOTICO

Es el control indebido de sistemas informáticos.

Daños al hardware (tipos penales tradicionales), a los datos y al

software.

Elemento Objetivo: Borrado, destrucción o alteración de un

sistema informático o datos

Elemento Subjetivo: Dolo, intención de dañar al sistema o los

datos

ART.183 Cód.Penal: Solo prevé el daño a las cosas muebles y

no a las inmateriales.

11

OTRAS CONDUCTAS DELICTIVASOTRAS CONDUCTAS DELICTIVAS

- Falsificación informática.

- Espionaje informático.

- Generación y distribución de virus.

- Interceptación no autorizada.

Difusión de pornografía infantil.

12

PHISHINGPHISHING

Recibimos un mail con la tipología de alguna institución

conocida.

Nos induce a entrar a un link falso.

Con un ardid logran la obtención de datos personales.

Luego los utilizan en nuestro perjuicio.

PHARMINGPHARMING

Variante sofisticada del phishing.

Se envía un mail vacío, al clickear sobre él, instala un programa

que engaña al navegador y lo hace ir a direcciones falsas.

13

TIPOS de DELITOS INFORMTIPOS de DELITOS INFORMÁÁTICOSTICOSONUONU

1. Fraudes cometidos mediante manipulación de computadoras:

· Manipulación de datos de entrada. Consiste en la sustracción de datos.

Este delito no requiere conocimientos técnicos de informática y puede cometerlo

cualquier persona que tenga acceso a funciones normales de procesamiento de

datos.

· Manipulación de programas. Se trata de la modificación de los programas

existentes o bien, o bien la inserción de nuevos programas o nuevas rutinas.

(“Caballo de Troya”). El delincuente debe tener conocimientos técnicos de

informática.

· Manipulación de datos de salida. Se realiza fijando un objetivo al

funcionamiento del sistema informático. Generalmente afecta a los cajeros

automáticos.

Fraude efectuado por manipulación informática. Aprovecha las

repeticiones automáticas de proceso de computo. (Técnicas del salami).

14

2. Falsificaciones informáticas:

• Como objeto: cuando se alteran datos de los documentos

almacenados en forma computarizada.

• Como instrumento: para falsificar documentos de uso comercial.

3. Daños o modificaciones de programas o datos computarizados.

4. Sabotaje informático.

Se ejecutan mediante la introducción de virus, gusanos, bombas lógicas

o cronológicas, etc. (Borrado, supresión o modificación de funciones o

datos de la computadora).

5. Acceso no autorizado a servicios y sistemas automáticos (piratería,

sabotaje o espionaje informático).

6. Reproducción no autorizada de programas informáticos con

protección legal.

15

BIEN JURBIEN JURÍÍDICO PROTEGIDODICO PROTEGIDOSiempre es un interés vital.

Creado por la sociedad de acuerdo a los valores vigentes en un tiempo

dado, es receptado por el derecho.

La recepción del derecho eleva el interés vital a BIEN JURIDICO.

“LA INFORMACIÓN” es el bien jurídico.

Es un bien jurídico novedoso y complejo.

“AMPLITUD, TITULARIDAD, AUTORÍA, INTEGRIDAD, DISPONIBILIDAD,

SEGURIDAD, TRANSMISIÓN, CONFIDENCIALIDAD”

Sin perjuicio que con su ataque se afecten otros bienes jurídicos tales

como la intimidad o la propiedad.

Tiene implicancias en lo económico, la privacidad., la seguridad, el

patrimonio y en otros ordenes.

16

EL QUID de la NATURALEZA JUREL QUID de la NATURALEZA JURÍÍDICA DICA de la INFORMACIde la INFORMACIÓÓNN

-En la Argentina la “información no es considerada cosa” por lo tanto no puede

ser robada ni destruida.

. La tesis de la energía electrónica

La información en una computadora es “energía electrónica o magnética” (según

sea el soporte).

Esta energía contenida en un disquete, CD o disco rígido es apropiable y por

ende se rige por las disposiciones de las cosas.

- Así podríamos decir que la información podría ser dañada, alterada, robada. Al

igual que los pulsos eléctricos o las señales de cable.

17

. La respuesta de la LPDP

- Art. 32 ley 25326 – 157 bis del Cód. Penal: “ a sabiendas ilegítimamente o

violando sistemas de confidencialidad y seguridad de datos, accediere, de

cualquier forma a un banco de datos personales.”

ESTAFA. Art. 172 Cod. Penal:

-El navegante es victima de un ardid que lo hace caer en un error y es

desapoderado de sus bienes.

- El desapoderamiento es un delito posterior cometido con la información

recibida en concurso real o ideal según el caso que agrava a la estafa.

18

PROBLEMPROBLEMÁÁTICA DE LA TIPIFICACITICA DE LA TIPIFICACIÓÓNN

- “ nullum crime, nulla poena, sine legge” no hay delito sin pena establecida por

la ley penal anterior.

- La ley penal: descripción precisa de la acción delictiva.

- No es permitida la analogía.

- La destrucción de bases de datos, el hurto o fraude informático:

impunes.

- Art. 183 Cod. Penal: pena a quien “dañe una cosa muebles, inmueble o

animal.” Los datos informáticos , son incorpóreos, no están incluidos.

- Art.162 Cod. Penal: Hurto: apoderamiento de una cosa mueble.

- Argentina carece de legislación especifica sobre delitos informáticos, salvo

cierta protección.

19

LA CUESTILA CUESTIÓÓN de la JURISDICCIN de la JURISDICCIÓÓN N INTERNACIONALINTERNACIONAL

Extraterritorialidad

- ¿Cuál es el Tribunal competente?:

· Competencia del país del acto.

· Competencia de donde se produjo el daño.

- El Tribunal competente resolverá de acuerdo a su legislación.

20

-- EEUU: USA vs. IVANOV, Aleksey :

Competente el lugar de los efectos.

Ciudadano ruso que hackeo el sistema de On Line Information Bureau

Inv. (OIB) de Vernon, Connecticut.

Envió mensaje a OIB diciendo que poseía claves y las destruiría salvo

pago de U$S 10.000- para convertir en seguro al sistema.

Acusado de conspiración, fraude informático y actitudes relacionadas,

extorsión y posesión no autorizada de dispositivos de acceso.

“VIRUS” “paraísos informáticos” . Ej. “ I love you” de Filipinas.

21

MODOS DE LEGISLARMODOS DE LEGISLAR

1. Ley especial: que abarque toda la problemática.

2. Manteniendo la economía del Cod. Penal actual, modificando los

párrafos pertinentes.

(Alemania, España, Francia).

22

MARCO LEGAL EN ARGENTINAMARCO LEGAL EN ARGENTINA

- LEY PENAL TRIBUTARIA 24.769:Art. 12: tipifica la “alteración dolosa de registros”.

- CONSTITUCIÓN NACIONAL:• Art. 18: privacidad del domicilio y papeles privados.• Art. 19: privacidad del individuo.• Art. 17: Dcho. de propiedad.• Art. 43: garantía de acceso y rectificación de nuestros datos.

- LEY 24.073 (AFIP):Art. 29: Obliga a los contribuyentes a mantener por dos años en condiciones de operatividad los soportes magnéticos con datos de la materia imponible.

23

- LEY 25326:Art.32. Cod. Penal art. 117 bis:“insertar o hacer insertar datos falsos en un archivo de datos personales y proporcionar a un tercero a sabiendas información falsa contenida en un archivo de datos personales.

Cod. Penal 157 bis: acceder, a un banco de datos personales, a sabiendas o ilegalmente, violando sistemas de seguridad y confidencialidad. .Revelar información registrada en un banco de datos personales cuyo secreto estuviere obligado a preservar por disposición de una ley.

- LEY 24.766 DE CONFIDENCIALIDADProtege el secreto de informaciones de personas físicas o jurídicas almacenadas en medios informáticos (bases de datos). Reprime la divulgación en contra de los usos comerciales honestos.

24

- PROYECTOS DE LEY

- LEY 25.036 de PROTECCIÓN PENAL del SOFTWAREmodificatoria de ley 11723 :

Protege los derechos de autor de los programas de computación (fuente y objeto), las compilaciones de datos u otros materiales, sea cual fuere su procedimiento de reproducción (art. 1). Protege la expresión de la idea y no la idea en si misma.

Art. 172 Cod. Penal: castiga a quienes defraudaren los derechos de propiedad intelectual.

25

UN PASEO POR LA JURISPRUDENCIAUN PASEO POR LA JURISPRUDENCIA

Caso ARDITA, Julio:Accedió a la NASA a través del servicio de acceso gratuito de

Telecom con el que comunicaba fraudulentamente.No se le condenó por acceso ilegitimo.Si por estafa.

Caso PINAMONTI, Orlando M.:“ Borrar o destruir software no es delito de daño porque el concepto de “cosa” solo es aplicable al soporte y no al contenido.

Caso M. E. s/ Recurso de Casación:Médico pediatra envía dos fotografías pornográficas de menores a un newsgroup alt.sex.pictures.maleAcusado de “delito de distribución de imágenes pornográficas”.Primera Instancia :No hubo “distribución”. Para ello el newsgroupdebía estar integrado por dos o mas personas. Casación lo revierte “basta la puesta en circulación del material”. El delito operó cuando el material se envió a Internet.

26

Caso GORNSTEIN, Marcelo H.:Causa por violación de sistema de seguridad de paginas web de CSJN. El 26/01/98 – consigna alusiva al aniversario de José Luis Cabezas.Se lo atribuyo a un grupo de Hackers denominados XTEAM.Acusados por el art. 183 Cod. Penal “daño a una cosa mueble o

inmueble o animal”

Art. 2311 Cod. Civil cosa: “objeto material susceptible de tener valor”sus disposiciones son aplicables a la energía y a las fuerzas naturales.Sea lo característico la copropiedad o el valor patrimonial una pagina web no es un caso.Extender el principio a “cosa” atentaría contra el “principio de legalidad”del art. 18 CN.

Sobreseídos todos los imputados.

Carrión un sitio web es detectable por que la información esta en la memoria del servidor como archivo HTML constituido de energía detectable materialmente como combinación binaria de unos y ceros. Pero la información que se plasma en un sitio web no esta protegida por la legislación penal.

27

Caso VITA, Leonardo G y GONZALEZ EGGERS, Matías:

Tenían una pagina web registrada donde debatían sobre la prohibición legal de la marihuana y sus usos. Posible inducción al uso de estupefacientes.

Alzada los imputados no tenían control o dominio sobre el contenido publicado. Su conducta se limito a informar la existencia de la página.

El amplio criterio de “libertad de prensa” alcanza a Internet. Se valieron de ese medio para difundir sus ideas sobre el consumo de estupefacientes.

.El derecho de expresarse en dirección contraria a la política criminal del Estado debe prevalecer sobre el interés estatal del art. 12 inc. a Ley 23737 “inducción al consumo”.

Sobreseídos.

28

LOS PRINCIPIOS BLOS PRINCIPIOS BÁÁSICOS DE LA SICOS DE LA SEGURIDAD INFORMSEGURIDAD INFORMÁÁTICATICA

Mínimo privilegio

Sostiene que los permisos otorgados a un sujeto deben estar basados en

la necesidad de saber.

Valores por omisión seguros

Establece que, a menos que se otorgue explícitamente a un sujeto

acceso a un determinado objeto, éste debe ser denegado.

Economía de los mecanismos

Requiere que los mecanismos de seguridad deben ser los más sencillos

posibles. En otras palabras, la complejidad es enemiga de la seguridad.

Mediación completa

Establece que todo acceso a objetos pueda ser auditado.

29

Diseño abierto

Sostiene que la seguridad de un sistema no debe depender

exclusivamente de secretos en su diseño o implementación.

Separación de funciones

Dice que el sistema no debe conceder permisos a recursos críticos del

sistema basados exclusivamente en una única condición (defensa en

capas).

Menor mecanismo común

Los mecanismos utilizados para acceder a recursos no deben ser

compartidos.

Aceptación psicológica

Asegura que los mecanismos de protección no deben afectar seriamente

la factibilidad de uso del sistema.

30

Facultad de Derecho - Universidad de Buenos Aires

Posgrado on-line en Derecho InformáticoDirector Prof. Dr. Daniel Ricardo Altmark

31

Prof. Dr. Rodolfo Daniel Uicichuicich@ciudad.com.ar