CÓMO ENFRENTAR EL ACCESO Y LA MANIPULACIÓN NO AUTORIZADA DE SISTEMAS INFORMÁTICOS.
En publicaciones previas, hemos explorado las causas del cibercrimen y sus cifras en Colombia, dicho artículo lo podrán encontrar dando clic en el siguiente recuadro:
Este es el primero de una serie de tres artículos que hacen alusión a los eventos de ciberseguridad y como enfrentarlos, que serán publicados en nuestro sitio web y redes sociales, ya que, en nuestro despacho jurídico, consideramos importante el brindar una guía práctica para la salvaguarda de los derechos del usuario digital y las empresas que utilizan de forma ostensible dichos medios para llevar a cabo sus procesos.
En esta ocasión, nos dedicaremos precisamente a explicar los crímenes relacionados con el acceso y manipulación no autorizadas de sistemas informáticos, lo anterior, acompañado de una breve guía de acciones que podemos tomar para prevenir este tipo de delitos y aquellas que debemos emprender en caso de ser víctima de este fenómeno.
Los actos, relativos a este tipo de crímenes los podemos encontrar en el reformado código penal o Ley 599 de 2000, por lo cual, procedemos a explicar cada uno de ellos de la siguiente manera:
ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO (HACKING)
Para iniciar nuestro análisis sobre este delito en particular, debemos remitirnos a la normatividad que los introduce en el código penal, siendo esta la Ley 1273 de 2009, “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.”
Teniendo entonces la normatividad penal identificada, debemos orientar nuestra atención al artículo 269A, el cual reza lo siguiente:
“El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena (…)”
Con este recurso a la mano podemos decir con certeza que el acceso abusivo a un sistema informático se configura con el solo acceso no autorizado al sistema o su permanencia en aquel en contra de la voluntad de su titular o sin su conocimiento.
A este fenómeno se le llama hackeo o hacking, donde el sujeto activo o perpetrador de la acción, es quien realiza el acceso abusivo o no autorizado y el sujeto pasivo o víctima del acto, es el titular del sistema, tenga estas medidas de seguridad o no.
Dicho lo anterior, debemos presentar algunos ejemplos de cómo se configura esta conducta, llevando así a una comprensión más profunda de las situaciones que dan lugar a ser llamadas “hackeos”.
Nuestro primer ejemplo es cuando un individuo sea con intenciones maliciosas o no, se acerca a un equipo informático físico que no le pertenece y al cual no tiene autorizado su acceso y por medios que aquel conoce, accede al sistema y sus datos, el individuo puede quedarse en el escritorio del equipo y no recolectar datos o hacer más acciones, pero, de todos modos, ya se habrá configurado el delito.
Un segundo ejemplo, es cuando alguien desde su equipo informático, valiéndose de medios que conoce, se dispone mediante redes informáticas locales o internet a acceder a un equipo ajeno al cual no tiene autorizado el ingreso, el solo hecho de acceder al sistema configura el delito, así que, si lo hace solo con la intención de vulnerarlo y demostrar que puede hacerlo, igual habrá incurrido en la conducta.
INTERCEPTACIÓN DE DATOS INFORMÁTICOS (ESPIONAJE DIGITAL)
Pasemos a la interceptación de datos informáticos, conducta delictiva establecida en el artículo 269C de la Ley 1273 de 2009, la cual reza:
“El que, sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema informático que los transporte incurrirá en pena (…)”
Teniendo el artículo en cuenta podemos decir con certeza que la acción se da, cuando de manera intencional, sin necesidad de interrumpir la transmisión de la información, se capturan datos de tipo informático que están siendo remitidos.
Esto quiere decir, que para que se configure la conducta en particular, se necesita que haya una transmisión de la información y que esta sea capturada en el momento de la remisión, su proceso de transmisión o en el lugar de recepción y que dicha comunicación sea exclusivamente de datos informáticos, ya que, si se trata de comunicaciones telefónicas u otras, se configurará otro delito distinto.
A este fenómeno se le puede llamar espionaje digital, donde el sujeto activo o perpetrador de la acción, es quien intercepta los datos y el sujeto pasivo o víctima del acto, es quien transmite los datos y quien lo recibe como legitimo receptor.
Dicho lo anterior, debemos presentar algunos ejemplos de cómo se configura esta conducta, llevando así a una comprensión más profunda de las situaciones que pueden ser llamadas “espionaje digital”.
En primera medida tendríamos un ejemplo simple, que es cuando una persona remite un correo electrónico a otra, pero un tercero que tiene presencia digital en el equipo de remisión, en el de transmisión o en el de recepción, recibe la información sin estar facultado o autorizado para aquello.
Ahora pasemos a uno muchísimo más complejo que es básicamente una chuzada, como se les dice coloquialmente en Colombia, pero, para que sea espionaje digital, se deben cumplir una serie de cuestiones.
En primer lugar, es el medio, es decir, que aquel debe ser eminentemente informático o basado en redes informáticas locales o de internet, como ejemplo podemos usar Google Meet, Zoom, Skype u similares, y el segundo la forma de captación, es decir, como se captura ese dato, que en este caso deberá ser por adquisición interna, es decir, teniendo presencia digital dentro del equipo o sistema que realiza, procesa o recibe la comunicación, por lo cual, se excluye la recepción externa, como poner un equipo de vigilancia escondido cerca al computador del sujeto de la transmisión.
SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES (PHISHING)
Ahora, pasemos a la suplantación de sitios web para capturar datos personales o mejor conocido como “phishing”, el cual se estipula como conducta punible en el artículo 269G de la Ley 1273 de 2009 de la siguiente forma:
“El que con objeto ilícito y sin estar facultado para ello, diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas, enlaces o ventanas emergentes, incurrirá en pena (…)
En la misma sanción incurrirá el que modifique el sistema de resolución de nombres de dominio, de tal manera que haga entrar al usuario a una IP diferente en la creencia de que acceda a su banco o a otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave.”
Entonces, tenemos que el delito se puede configurar mediante dos acciones clave, la creación del sitio malicioso o suplantador y la transmisión del dato del sitio suplantador para generar el daño.
Esto quiere decir, que para que se configure la conducta en particular, se necesita únicamente que se cree el sitio web malicioso o también de forma independiente que, existiendo el sitio, se comparta el enlace a aquel.
El phishing es palabras más palabras menos, un sitio web malicioso, que suplanta a uno legítimo con el fin de generar confianza y capturar información de las víctimas, por lo cual el sujeto activo o perpetrador, es quien diseña, pone a disposición o comparte el sitio y el pasivo o víctima, es quien, confiando en la marca y sitio de la empresa, institución o persona, brinda una información, sea esta financiera o personal.
Entonces presentemos un ejemplo de phishing, que resulta altamente sencillo, ya que el acto es el mismo en todos los casos, lo que cambia es la información recompilada.
El ejemplo concreto sería cuando alguien crea un sitio web con las mismas características, casi idéntico al de una entidad financiera que presta servicios digitales y utilizando engaños como mensajes de deuda, etc…, se guía a la víctima al sitio, quien confiando en que es legítimo, introduce su información de acceso a la entidad financiera, creando un riesgo claro para los valores económicos que se alojan en dicha cuenta; el ejemplo siempre es el mismo, solo hay que cambiar a lo que se pretende acceder a través del sitio.
ACCIONES PREVENTIVAS
Conocidos este grupo de crímenes establecidos en la Ley, procedemos a plantear soluciones que otorguen mecanismos de protección a los usuarios y las empresas, esto, desde un enfoque preventivo humano, de software y físico, así como las acciones reactivas en caso de ser víctima de aquellos, de la siguiente forma:
ACCIONES REACTIVAS
Cuando ya somos víctimas de un cibercrimen, debemos tomar las siguientes acciones reactivas:
Solo queda recomendar que, en todos los casos de cibercrimen, la mejor estrategia además de la educación es, buscar un equipo técnico y jurídico, que permita abordar estos temas con seriedad y profesionalismo, cuestión que nuestra firma M&L puede apoyar.
Para abordar tu caso, agenda tu consulta usando nuestra sección de CONTACTO.
Juan Carlos Maya Lafaurie
Abogado - CEO - M&L
Máster en Derecho Informático y Nuevas Tecnologías
Declinación de responsabilidad: El presente artículo es meramente informativo, no constituye ni constituirá asesoría legal particular, M&L no se hace responsable de los efectos de la aplicación de estos mecanismos e informa al lector que todos los casos tienen sus particularidades, por lo cual las acciones a emprender deberán ser evaluada según la situación individual.
Comments