CÓMO ENFRENTAR EL ROBO DE DATOS Y ACTIVOS FINANCIEROS.
En publicaciones previas, hemos explorado las causas del cibercrimen y sus cifras en Colombia, dicho artículo lo podrán encontrar dando clic en el siguiente recuadro:
Este es el último de una serie de tres cortos artículos que hacen alusión a los eventos de ciberseguridad en Colombia y como enfrentarlos, que han sido publicados en nuestro sitio web y redes sociales, ya que, en nuestro despacho jurídico, consideramos importante el brindar una guía práctica para la salvaguarda de los derechos del usuario digital y las empresas que utilizan de forma ostensible dichos medios para llevar a cabo sus procesos.
En esta ocasión, nos dedicaremos precisamente a explicar los crímenes relacionados con el robo de datos y de activos financieros, lo anterior, acompañado de una breve guía de acciones que podemos tomar para prevenir este tipo de delitos y aquellas que debemos emprender en caso de ser víctima de este fenómeno.
Las conductas relativas a este tipo de crímenes se encuentran consagradas en el reformado código penal o Ley 599 de 2000, por lo cual, procedemos a explicar cada una de ellas de la siguiente manera:
VIOLACIÓN DE DATOS PERSONALES (VDP)
Entonces, al igual que en artículos previos, tenemos que hacer uso de la normatividad que los introduce en el código penal, siendo esta la Ley 1273 de 2009, “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones.”
Contemplada la normatividad penal, debemos pasar a exponer el contenido del artículo 269F, el cual reza lo siguiente:
“el que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena(…)”
El asunto de la VDP, es bastante complejo desde un punto de vista exegético de la norma, ya que en principio, todos los individuos al nivel nacional e internacional que capten, intercambien o divulguen datos personales, estaría incurso en el delito con suma facilidad.
No obstante, existen estructuras jurisprudenciales y legales que crean las facultades de los ciudadanos, las empresas y el gobierno, para la obtención y los usos de este tipo de datos con sus respectivos límites, para lo cual, nos podemos remitir por ejemplo a la Ley 1581 de 2012, que regula este tipo de prácticas y crea el esquema de facultades para los particulares, así como las definiciones de lo que es un dato personal, por lo que invitamos a los lectores curiosos a revisarla.
Así mismo, resulta obvio, que los órganos estatales están facultados para la recogida y uso de estos datos, sobre todo la Registraduría Nacional del Estado Civil, que es el órgano estatal encargado de la identificación de los ciudadanos, lo cual no excluye de dichas acciones a otras instituciones gubernamentales, todo esto por su puesto con un nivel de suficiencia restrictiva para proteger al ciudadano.
El asunto de los datos personales es altamente complejo y extenso, por lo que podríamos tratarlo en un artículo aparte y aun así, no sería suficiente el espacio para explicarlo; no obstante, debemos indicar que el sujeto activo de la acción es quien sin estar autorizado o facultado para aquello, recolecta, almacena, remite o utiliza la información personal con provecho propio o de un tercero y el sujeto pasivo es, el titular o los titulares de los datos personales.
Entonces pasemos a los ejemplos, el primero sería el caso de Facebook, que antes y después de la existencia de la regulación relacionada a los datos personales, tomaba la información de las personas de forma no consentida y la distribuía entre una cantidad masiva de participantes en el mercado por una ganancia, esto, para facilitar el ofrecimiento de productos y servicios, aquello, mediante el perfilamiento no consentido de los usuarios.
Esta situación ha cambiado y Facebook ha tomado las medidas de cumplimiento necesarias para no encontrarse incurso en este delito, sin embargo, el sistema sigue siendo imperfecto y puede mejorar.
Otro ejemplo es cuando un individuo recolecta datos personales de las personas con fines maliciosos, como para hacer uso de tarjetas de crédito o ingresar a cuentas de usuarios de distinto tipo, aquí el punto es la recolección de la información sin el cumplimiento de los requisitos de la Ley.
HURTO POR MEDIOS INFORMÁTICOS Y SEMEJANTES (CIBER ROBO)
Procedamos a la siguiente conducta ilegal, que se encuentra establecida en el artículo 269I de la Ley 1273 de 2009, la cual reza:
“El que, superando medidas de seguridad informáticas, realice la conducta señalada en el artículo 239 manipulando un sistema informático, una red de sistema electrónico, telemático u otro medio semejante, o suplantando a un usuario ante los sistemas de autenticación y de autorización establecidos, incurrirá en las pena (…)”
Entonces leído el artículo podemos identificar que la conducta es precisamente la indicada en el artículo 239 de la Ley 599 de 2000 o Código Penal, que es en palabras mundanas un robo, pero este robo se hace por medios informáticos y además, se debe dar superando medidas de seguridad, por lo que este delito se debe dar necesariamente para su existencia en concurso con otros delitos de tipo informático.
En este tipo de crímenes, el sujeto activo o perpetrador de la acción, es quien se apropia del bien mueble, que puede ser dinero o información, lo que se puede dar desde un punto de vista de interno y externo, es decir, se puede dar dentro de un sistema de información enteramente o usando uno para extraer el bien mueble.
Por otro lado, tenemos al sujeto pasivo o víctima del acto, es el titular de bien hurtado por el medio informático, sea esto, información, dinero, datos, entre otros.
Dicho lo anterior, debemos presentar algunos ejemplos de cómo se configura esta conducta, llevando así a una comprensión más profunda de las situaciones que pueden ser llamadas “Ciber Robo”.
Como primer ejemplo debemos referirnos a un caso simple, que es cuando un individuo accediendo de manera ilegal a un sistema de información, captura los datos financieros de una persona y con ellos procede a acercarse a un cajero automático y retirar el dinero de forma física, como podemos ver, existe un sistema seguro que es el repositorio de los datos y luego se configura, cuando se extrae el dinero de forma física en el cajero o digital atreves de una transferencia.
Otro ejemplo sería cuando una persona, utiliza un dispositivo externo, el cual conecta al equipo o dispositivo y aquel, violando los esquemas de seguridad básicos del equipo, hace una copia automática de la información contenida en aquel, y una vez se realiza la copia, se extrae y lo saca de la esfera de dominio de la víctima.
TRANSFERENCIA NO CONSENTIDA DE ACTIVOS (FRAUDE DIGITAL)
Procedamos a la siguiente conducta ilegal, que se encuentra establecida en el artículo 269J de la Ley 1273 de 2009, la cual reza:
“El que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre que la conducta no constituya delito sancionado con pena más grave, incurrirá en pena”
Entonces, tenemos que el delito se configura con la transferencia no consentida del activo, lo cual no se limita al dinero, sino también a los bienes, pero aquello se debe dar dentro del marco de un sistema de información, por lo que no hay acción externa alguna.
En este asunto se presenta una gran incógnita, siendo esta cuál es la diferencia entre esta conducta y la de “Ciber Robo” y el delito que estamos analizando, la respuesta no es simple, pero la trataremos de dar en el marco de este artículo de forma sumaria.
Lo primero que los diferencia, es que la cuantificación de las penas los excluye entre sí tal y como lo indica el artículo 269J, es decir, se configurará una u otra dependiendo de la forma, pero en principio no podrían concursar.
El segundo elemento diferenciador, es básicamente, que el delito del artículo 269H, se da en marcos físicos y digitales, mientras que el del 269J se da exclusivamente en ambientes digitales, dependerá entonces de la cuantificación de la pena la selección entre el uno y el otro.
Por último, tenemos que en el ciber robo, se debe superar la seguridad de una red informática, mientras que, en la transferencia, no se avoca la superación, sino la manipulación o un artificio, es decir, que en la primera se hace un acceso abusivo mientras que en la segunda, se vale de trucos, artificios, engaños, es decir, que el primero (269H) es más sofisticado en cuanto a conocimientos de informática, mientras que el segundo (269J), se basa solo en la malicia del perpetrador y en la falta de suspicacia de la víctima.
Consideradas las diferencias, debemos identificar las partes en el asunto del “Fraude Digital”, donde el sujeto activo o perpetrador de la acción, es quien transfiere a su nombre o al de un tercero, un activo a través de medios informáticos y el sujeto pasivo o víctima del acto, es el titular del bien transferido por el medio informático, sea esto, información, datos, dinero, entre otros.
Dicho lo anterior, debemos presentar algunos ejemplos de cómo se configura esta conducta, llevando así a una comprensión más profunda de las situaciones que pueden ser llamadas “Fraude Digital”.
Iniciemos entonces con el mismo caso de Ciber Robo, pero cambiemos algunos elementos, lo que nos llevaría a lo siguiente: cuando un individuo valiéndose de la inocencia de una persona, procede a apoyarla maliciosamente en un cajero o en su computador o en su teléfono inteligente, durante ese apoyo, captura su información financiera y luego procede a transferir el dinero del afectado a una cuenta propia, de un tercero o una ficticia; aquí como podemos ver no se superó un sistema informático, sino que hubo un aprovechamiento por parte del perpetrador de la ingenuidad y confianza de la víctima y la utilización de un sistema para transferir el dinero de una cuenta a otra, sin que haya extracción directa de un cajero.
Otro caso sería, cuando alguien, mediante un sitio de phishing, captura las credenciales de un empleado de una empresa, una vez estos son capturados, el perpetrador, ingresa a la red y se apropia de los esquemas y trazados para la creación de los productos de la empresa, aquí existe una apropiación de la información, sin que aquello signifique la necesidad de concurso con destrucción de datos.
ACCIONES PREVENTIVAS Y REACTIVAS
Conocidos este grupo de crímenes establecidos en la Ley, procedemos a plantear soluciones que otorguen mecanismos de protección a los usuarios y las empresas, esto, desde un enfoque preventivo humano, de software y físico, así como las acciones reactivas en caso de ser víctima de aquellos, de la siguiente forma:
Cuando ya somos víctimas de los hechos debemos tomar las siguientes acciones reactivas:
Solo queda recomendar que, en todos los casos de cibercrimen, la mejor estrategia es, además de la educación, buscar un equipo técnico y jurídico, que permita abordar estos temas con seriedad y profesionalismo, cuestión que nuestra firma M&L puede apoyar.
Para abordar tu caso, agenda tu consulta usando nuestra sección de CONTACTO.
Juan Carlos Maya Lafaurie
Abogado - CEO - M&L
Máster en Derecho Informático y Nuevas Tecnología
Declinación de responsabilidad: El presente artículo es meramente informativo, no constituye ni constituirá asesoría legal particular, M&L no se hace responsable de los efectos de la aplicación de estos mecanismos e informa al lector que todos los casos tienen sus particularidades, por lo cual las acciones a emprender deberán ser evaluada según la situación individual.
NOTAS:
[1] Dilucidar la diferencia entre Fraude Digital y Ciber robo, resulta altamente complejo, para lo cual, para llegar a una conclusión certera por parte del autor fue usada la siguiente fuente - G.S Grisales - "Análisis dogmático de las conductas de Hurto por medios informáticos y semejantes (Art. 269i) y Transferencia no consentida de activos (Art. 269j) Ley 1273de 2009" Medellín, Antioquia Julio de 2013 Universidad EAFIT Recuperada de la World Wide Web: https://www.fiscalia.gov.co/colombia/gestion/estadisticas/delitos/- última revisión 05 de agosto de 2023 - La expresión en el presente artículo discrepa y adiciona ciertos elementos presentados en la publicación, esto, producto de las disertaciones llevadas a la realidad por el autor de este artículo.
Comments