top of page
Search
Writer's picture: Juan Carlos Maya LafaurieJuan Carlos Maya Lafaurie

Updated: Aug 8, 2023

CÓMO ENFRENTAR EL DAÑO Y OBSTACULIZACIÓN DE SISTEMAS INFORMÁTICOS


En publicaciones previas, hemos explorado las causas del cibercrimen y sus cifras en Colombia, dicho artículo lo podrán encontrar dando clic en el siguiente recuadro:

Este es el segundo de una serie de tres cortos artículos que hacen alusión a los eventos de ciberseguridad en Colombia y como enfrentarlos, que serán publicados en nuestro sitio web y redes sociales, ya que, en nuestro despacho jurídico, consideramos importante el brindar una guía práctica para la salvaguarda de los derechos del usuario digital y las empresas que utilizan de forma ostensible dichos medios para llevar a cabo sus procesos.


En esta ocasión, nos dedicaremos precisamente a explicar los crímenes relacionados con el daño y la obstaculización de sistemas informáticos, lo anterior, acompañado de una breve guía de acciones que podemos tomar para prevenir este tipo de delitos y aquellas que debemos emprender en caso de ser víctima de este fenómeno.


Las conductas relativas a este tipo de crímenes las podemos encontrar en el código penal, por lo cual, procedemos a explicar cada una de ellas de la siguiente manera:


OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÓN (DDoS)


Para iniciar nuestro análisis sobre este delito en particular, debemos remitirnos a la normatividad que los introduce en el código penal, siendo esta la Ley 1273 de 2009, “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.”


Teniendo entonces la normatividad penal identificada, debemos orientar nuestra atención al artículo 269B, el cual reza lo siguiente:


“El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena (…)”


Este fenómeno se puede dar de diversas formas, no obstante, al más común en el medio, se le llama Distributed Denial of Service o DDoS por sus siglas en inglés, donde el sujeto activo o perpetrador de la acción, es quien, utilizando mecanismos de su conocimiento, crea una disrupción u obstaculización que no permite el buen funcionamiento del sistema y el sujeto pasivo o víctima del acto, es el titular del sistema o red de comunicación o aquel quien la utiliza.


Dicho lo anterior, debemos presentar algunos ejemplos de cómo se configura esta conducta, llevando así a una comprensión más profunda de las situaciones llamadas “DDoS”.

Nuestro ejemplo es cuando un individuo o grupo de individuos, sea con intenciones maliciosas o no, crea un grupo de chatbots, que envían un sin número de solicitudes, mensajes e información a una aplicación, lo cual requiere que el sistema procese dicha información, pero la cantidad de tal magnitud que el sistema se satura y falla.


Ahora vale la pena traer un ejemplo real, no de ataque, sino de saturación de sistema, se dio el 24 de mayo de 2023, cuando Ron DeSantis, uno de los candidatos republicanos a presidente de Estados Unidos, quiso anunciar su campaña por Twitter Spaces, pero al ser visitados por más de 300.000 espectadores, se saturó la comunicación lo que fue un desastre para su anuncio de campaña, ya que nadie pudo escucharlo y varios fueron retirados del “cuarto digital”; el DDoS, tiene los mismos efectos, pero utilizando medios fraudulentos.


DAÑO INFORMÁTICO (DI)


Pasemos al daño informático, conducta delictiva establecida en el artículo 269D de la Ley 1273 de 2009, la cual reza:


“El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos, incurrirá en pena (…)”


Teniendo el artículo en cuenta podemos decir sin lugar a dudas que, la acción se da una vez se materialice el daño con la eliminación o alteración de los datos contenidos en los sistemas informáticos, esta conducta no requiere de intencionalidad alguna, por lo que la mera destrucción configura el crimen.


En este tipo de crímenes, el sujeto activo o perpetrador de la acción, es quien destruye o altera la información, lo que se puede dar desde un punto de vista de software o de hardware y el sujeto pasivo o víctima del acto, es el titular del equipo o sistema informático.


Dicho lo anterior, debemos presentar algunos ejemplos de cómo se configura esta conducta, llevando así a una comprensión más profunda de las situaciones que pueden ser llamadas “Daño Informático”.

En primera medida podríamos dar un ejemplo un tanto mundano, el cual goza de culpabilidad, pero no de intencionalidad o dolo en lo que respecta al daño informático, que es cuando un individuo con el efecto de jugarle una broma a otro empuja a este último a una piscina con su maletín donde casualmente, tenía varios equipos y por tanto, toda su información lo que resulta en la perdida de los equipos y por ende la información, este es un caso de preterintencionalidad que configura el delito.


Como segundo ejemplo tenemos, cuando utilizando medios maliciosos, un hacker ingresa a los servidores del Ministerio de Defensa y procede a eliminar toda la información de esa institución, aquí tenemos no solo este delito, sino que tenemos muchísimos más en concurso, pero es claro que se configura la destrucción.


USO DE SOFTWARE MALICIOSO (MALWARE)


Ahora, pasemos al uso del software malicioso, mejor conocido como uso de “malware”, el cual se estipula como conducta punible en el artículo 269E de la Ley 1273 de 2009, de la siguiente forma:


“El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos, incurrirá en pena.”


Entonces, tenemos que el delito se puede configurar mediante varias acciones clave, que son la creación, la distribución y el uso del software malicioso; se excluye la tenencia por su puesto, ya que una víctima puede ser tenedor del malware producto de que en su equipo reside aquel, pero aquella no lo produjo, no lo adquirió y muy probablemente se quiera deshacer del porqué le está siendo víctima de sus efectos nocivos.


El malware es un universo extenso de distintos programas maliciosos y pueden tener los efectos de todos los delitos informáticos de forma individual o total y automatizada o no, por lo que invitamos a los lectores curiosos a visitar el Glosario de Términos de Ciberseguridad, del Ministerio de Asuntos Económicos y Transformación Digital del Gobierno de España, el cual podrá encontrar en el siguiente enlace: https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_glosario_ciberseguridad_2021.pdf.


Dicho esto, el sujeto activo o perpetrador, es quien genera, crea, distribuye o pone a disposición el programa malicioso y el sujeto pasivo se constituye en varios, no solamente es un individuo que resulta infectado, sino también la sociedad, esto, debido a que la existencia del malware presenta un peligro para la seguridad de aquella, por la capacidad de este tipo de programas de ser replicado y distribuido con gran facilidad por distintos medios con consecuencias sociales y económicas masivas o catastróficas.

Entonces presentemos ejemplos de malware, una primera categoría sería el uso de ransomware, caso muy conocido wannacry, mediante el cual se utilizó un software malicioso que bloqueó las computadoras de miles de personas y empresas alrededor del mundo, solicitando para el desbloqueo, un pago en la forma de bitcoins, en este caso muchas víctimas pagaron el “ransom” o el dinero del rescate.


Otro ejemplo es cuando un individuo altamente capacitado o hacker, crea un programa de este tipo o una gran biblioteca con una amplia diversidad de malware, el hecho de ser generador de este tipo de programas para el ordenamiento es de por sí inadmisible.


Ahora bien, vale la pena resaltar que también el artículo relaciona la expresión “sin estar facultado para ello” esto quiere decir, que existe la posibilidad de facultar a alguien para poderlos crear, pero en nuestro concepto no existe un mecanismo que faculte para aquello de forma legal, por lo que la única forma dable sería con la veeduría de un órgano público y que se realice con fines de hackeo ético o seguridad nacional.


ACCIONES PREVENTIVAS Y REACTIVAS


Conocidos este grupo de crímenes establecidos en la Ley, procedemos a plantear soluciones que otorguen mecanismos de protección a los usuarios y las empresas, esto, desde un enfoque preventivo humano, de software y físico, así como las acciones reactivas en caso de ser víctima de aquellos, de la siguiente forma:

Cuando ya somos víctimas de los hechos debemos tomar las siguientes acciones reactivas:

Solo queda recomendar que, en todos los casos de cibercrimen, la mejor estrategia es, además de la educación, buscar un equipo técnico y jurídico, que permita abordar estos temas con seriedad y profesionalismo, cuestión que nuestra firma M&L puede apoyar.


Para abordar tu caso, agenda tu consulta usando nuestra sección de CONTACTO.

 

Juan Carlos Maya Lafaurie

Abogado - CEO - M&L

Máster en Derecho Informático y Nuevas Tecnologías

 

Declinación de responsabilidad: El presente artículo es meramente informativo, no constituye ni constituirá asesoría legal particular, M&L no se hace responsable de los efectos de la aplicación de estos mecanismos e informa al lector que todos los casos tienen sus particularidades, por lo cual las acciones a emprender deberán ser evaluada según la situación individual.

85 views0 comments

Recent Posts

See All

Comments


bottom of page