Delitos informáticos

La modificación del Código Penal

Del texto legal de la ley 26.388 se desprende que el uso de tecnología de la información para cometer actos ilícitos no respeta ni fronteras físicas ni jurisdicciones. De la mano de los grandes avances tecnológicos ha ido creciendo a nivel mundial, de manera exponencial, la ciberdelicuencia o delincuencia informática. En consecuencia, la sanción de la ley representa un avance cualitativo para nuestro país y la región.

Si bien la norma modifica e incorpora diversos artículos, nos referiremos al 10 y 11, que modifican los artículos 183 y 184 del Código Penal respectivamente y se relacionan con daños a sistemas informáticos.

Por un lado, en el capitulo VII, del Título VI del Código Penal, el artículo 10 de la reforma ha modificado el artículo 183, al incorporar como segundo párrafo el siguiente: “En la misma pena incurrirá el que alterare, destruyere o inutilizare datos, documentos, programas o sistemas informáticos; o vendiere, distribuyere, hiciere circular o introdujere en un sistema informático, cualquier programa destinado a causar daños”. La pena, a la que hace referencia el agregado de la 26.388, está estipulada en prisión de quince días a un año.

Asimismo, el artículo 11 de la 26.388 fija una nueva redacción para el artículo 184 del Código Penal, que agrava la pena establecida por el artículo 183. El nuevo texto queda de esta manera: “La pena será de tres (3) meses a cuatro (4) años de prisión, si mediare cualquiera de las circunstancias siguientes: ejecutarlo en sistemas informáticos destinados a la prestación de servicios de salud, de comunicaciones, de provisión o transporte de energía, de medios de transporte u otro servicio público”.

Por lo tanto, estos dos artículos llenan un vacío legislativo que existía en materia penal, ya que solucionan el problema que consistía en considerar atípica la destrucción de datos o programas de computadoras o incluso la transmisión de virus informáticos (troyanos y/o malwares) en redes de computadoras.

Alterar, destruir o inutilizar

Resulta correcta la utilización del verbo “alterar” en el nuevo artículo 183 ya que alude a modificar un archivo de datos o programa sin destruirlo completamente, conducta que es típica de quien utilizando un virus troyano convierte a una computadora en un equipo “zombie”, que después lo utiliza mediante control remoto para formar una “botnet”.

Ahora bien, los verbos “destruir o inutilizar”, atento al significado que analógicamente poseen en el contexto informático, habría que precisarlos ya que existen dos tipos de borrado de archivos y/o directorios: el lógico1 y el físico2. Si afirmamos que el delito ha producido que determinado archivo haya sido borrado definitivamente sin posibilidad de recuperación, estamos frente a un caso de borrado físico, y el verbo sería “destruir”. Pero si el archivo se puede recuperar mediante el uso de alguna herramienta especializada o simplemente con el sistema operativo de la computadora, posiblemente estemos frente a un caso de una inutilización temporal, ya que -como es sabido- en los sistemas operativos actuales cuando uno “borra” archivos se almacenan en una carpeta denominada “papelera de reciclaje” o trash can. En este sentido, el verbo “inutilizar” haría referencia a uno de los procedimientos de borrado lógico. Coincidimos en lo que dice Palazzi al afirmar respecto del particular que “la respuesta a si esto ocurre o no en un caso concreto dependerá del sistema informático y operativo utilizado… Por ende la consideración de la destrucción debe ser analizada caso por caso”.

El bien jurídico protegido por los artículos 183 y 184 en su nueva redacción es la propiedad, que en este caso estaría dada por los “datos, documentos, programas o sistemas informáticos”. De la misma forma, la ley 26.388 introduce una nueva tipicidad al daño tradicional cuando penaliza a quien “vendiere, distribuyere, hiciere circular o introdujere en un sistema informático cualquier programa destinado a causar daños”. En este tipo de delito, la finalidad es penalizar al que daña con la intención de alterar datos o sistemas informáticos, por lo que requiere un dolo específico de dañar. Entendemos, como la mayoría de la doctrina, que la venta se refiere a toda aquella persona que pone en el comercio un software de tales características, con conocimiento del daño a producir.

No debemos confundir conductas como las previamente descriptas con los casos en los cuales el titular de determinado software está amparado por los derechos de autor, que disponen, entre otras cosas, una protección tecnológica específica (por ejemplo inhabilitar funciones, ubicar carteles recomendando comprar el original, o bloquear funciones del sistema operativo).

Una vez más como nos dice Palazzi: “La propiedad del dueño del ordenador no está afectada ni destruida. No existe el daño sobre bienes propios (el artículo 183 CP dice “total o parcialmente ajeno”).

Delito de ataque de denegación de servicio

Las conductas delictivas que generan daños en las computadoras personales son cada vez más frecuentes e imperceptibles. En seguridad informática, se denomina “ataque de denegación de servicio”, también llamado “ataque DoS” (por sus siglas en inglés Denial of Service) al procedimiento de agresión “…a un sistema de computadoras o red que causa que un servicio o recurso sea inaccesible a los usuarios legítimos. Normalmente provoca la pérdida de la conectividad de la red por el consumo del ancho de banda de la red de la víctima o sobrecarga de los recursos computacionales del sistema de la víctima”.

Completamente impredecible, el ataque puede comenzar desde cualquier parte del mundo al generar que se saturen los puertos con flujo de información y -cual efecto dominó- hacer que el servidor (server o ISP) se sobrecargue y no pueda seguir prestando servicios; por eso se le dice “denegación”, pues mediante el congestionamiento propio provocado dolosamente determina que el servidor sea insuficiente y, por lo tanto, la cantidad de usuarios conectados en ese momento quedarán automáticamente sin servicio. Obviamente esta técnica, tiene como objetivo a través de la saturación de la banda ancha dejar fuera de servicio (u off-line) a servidores previamente seleccionados.

También existe el denominado “ataque de denegación de servicio distribuido” o DDoS (en inglés Distributed Denial Of Service Attack), el cual es un tipo especial de DoS que consiste en un embate conjunto y coordinado desde una computadora que a su vez controla varios equipos (que pueden ser cientos o decenas de miles) hacia un servidor víctima. Su particularidad es que al provenir de diferentes partes del mundo hace imposible cerrar la ruta de origen y deja como única opción desconectar el servidor de la red y esperar a que el ataque cese 6. Para este caso, se utilizan un conjunto de computadoras infectadas por un virus (por lo general del tipo conocido como “troyano”, denominado malware), a las que se conoce como máquinas “zombies”.

Al conjunto de todas estas computadoras a disposición de atacantes se les conoce como botnet; término acrónimo de robot y network. En definitiva una botnet es un grupo de equipos que ejecutan una aplicación controlada y manipulada sólo por el responsable del ataque, o quien está en condiciones de manipular el software fuente.

Normalmente los ataques se llevan a cabo en varias oleadas. Pueden durar un par de minutos o incluso días, como ha sucedido en casos reales. Esto es posible, como venimos diciendo, gracias a un cierto tipo de malware que permite obtener el control de esas máquinas y que un atacante ha instalado previamente en ellas, bien por intrusión directa o mediante algún troyano. Como colofón de todo esto, vemos que los DDoS consiguen su objetivo gracias a que agotan el ancho de banda de la víctima y sobrepasan la capacidad de procesamiento de los routers y consiguen que los servicios prestados por la máquina atacada no puedan ser ofrecidos. Como consecuencia de este ataque, generalmente el Server/IPS queda fuera de servicio voluntariamente por sus proveedores, debido al alto gasto de recursos y al ancho de la banda temporalmente fuera de línea.

Hemos dado otro paso

Como vemos Internet crea riesgos reales para las sociedades dependientes de las redes de información. Ataques como los descriptos en este artículo ponen en peligro otros equipos e incluso pueden afectar la infraestructura de comunicaciones de países.

Por otro lado, la ley 26.388 resulta de avanzada a los fines de la punición de los delitos mencionados. Los nuevos artículos 183
y 184 del Código Penal contienen descripciones de conductas que facilitan la investigación criminal. Pero, aunque la pesquisa forense digital pudiera seguir el rastro desde una botnet maliciosa hasta una única computadora que esté dirigiendo el ataque DDoS, la persecución podría verse dificultada si esa máquina se encontrase dentro de una jurisdicción diferente, poco dispuesta a cooperar. E incluso si existiese colaboración en ese sentido, el ordenador podría haber sido manipulado desde un cibercafé u otro centro de conexiones a Internet de uso público.

En nuestro país, el desafío está planteado y la nueva legislación -salvo algunos retoques- se encuentra a la altura de las circunstancias. Desde el derecho, es el momento de acompañar los cambios de paradigma en materia de tecnología informática.




Califica este Artículo:



Un comentario en Delitos informáticos

  1. Luis Sánchez reinosa Dice:

    Llevo 2 años sufriendo el ataque cibernético de mi vecino. Denunciadolo a la policía y a Movistar sin ningún resultado que me pueda solucionar el problema .que puedo hacer

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *