¿Has sido víctima de un delito Informático?
Por René Salas
¿Sabemos qué hacer ante un delito informático?
Seguramente contestaste que no. Y si la pregunta es: ¿sabes que es un delito informático? Y también contestaras que te imaginas que es cuando te hackean tu cuenta, o algo así. Pero, ¿realmente tenemos la información necesaria para ello? ¿sabemos que decirle a un hijo al que le robaron su identidad? ¿qué le decimos a nuestra esposa que está siendo acosada en una red social? ¿cómo reaccionamos cuando nosotros mismos estamos siendo víctimas de un fraude bancario, por andar dando las contraseñas cuando compramos en línea?
Ante un delito informático, las empresas o las personas afectadas se pueden ver enfrentadas a la interrupción de la continuidad del negocio, pérdidas financieras y golpes a su reputación. Pero las consecuencias legales también pueden ser profundas. Lo peor es que muchas no las conocen o desestiman su aplicabilidad.
Si hacemos un poco de revisión histórica, nos remontamos a 1983, donde se dan los primeros intentos de establecer leyes asociadas a los crímenes informáticos.
La Organización para la Cooperación y el Desarrollo Económico (OCDE) designó, en París, un comité de expertos para discutir los crímenes que tuvieran como centro a las computadoras y la necesidad de hacer cambios en los códigos penales. La OCDE recomendó a los países miembros, modificar su legislación penal para integrar este tipo de delitos.
En México, para variar, llegamos tarde al tema, ya que se demoró en concretar. Pero, afortunadamente, en los últimos años se han visto avances significativos. Por ejemplo, la Licenciada Ivonne Muñoz, abogada especializada en ciberseguridad y directora de IT Lawyers, despacho enfocado en temas de derecho informático, privacidad, pruebas digitales, propiedad intelectual y seguridad de la información, indica que en México, a partir de 1999, existe legislación a nivel federal que sanciona delitos informáticos.
En opinión de los especialistas, el sector financiero es el que más ha trabajado en leyes especiales que se refieren a la comisión de este tipo de ilícitos. La abogada consideró que, por ejemplo, el caso de la vulneración al SPEI, en abril del año pasado, puede analizarse desde varios aspectos, uno de ellos es el laboral. “Lo que diría un abogado, es que ahí hubo abuso de confianza: se estableció que había personal interno que tuvo acceso a información y abusó de ella. Desde el punto de vista de ciberseguridad, hubo acceso no autorizado a información privilegiada”.
Algunos delitos informáticos actualizan los del orden común; hay dos tipos de delitos de este tipo: aquellos que tienen como finalidad destruir, alterar, modificar o extraer información de manera no autorizada de los sistemas informáticos, y los delitos del orden común que se cometen a través de nuevas tecnologías.
Solís explicó que en la segunda clasificación entra el phishing. Jurídicamente es un concurso de delitos, son diferentes ilícitos que se cometen en un mismo momento. Por ejemplo, cuando una persona recibe una liga apócrifa con una alerta de su banco que dice que tiene un cargo no reconocido, le pide que entre a ese enlace con sus claves para revisarlo o rechazarlo.
El hecho de copiar o clonar la apariencia de una página web, ya es un delito en materia de derechos de autor, pero lo que se busca realmente es cometer el delito de fraude: apoderarse de un bien a través del engaño o aprovechando el error de la persona. El fraude se puede cometer a través de medios electrónicos o físicos. Ese es un delito federal del orden común.
En México existe el material sustantivo para determinar que estas conductas son punibles. Del 2000 para acá, hubieron reformas legislativas a nivel del Código Penal Federal, como los artículos 210, 211, 211 bis y subsecuentes, que incorporaron, por primera vez, tipos penales que hablan de sistemas de cómputo. Desde el 2008 se han incorporado en los Códigos penales de diferentes estados (como Querétaro, Yucatán, Chihuahua y Baja California, entre otros) ilícitos que son considerados delitos informáticos.
Para la entrevistada, el área de oportunidad que hay actualmente sería hacer un esfuerzo de legislación federal, ya que hasta ahora se ha hecho de manera aislada y por entidad federativa.
En los últimos meses, se ha observado en redes sociales principalmente “El pretexto era el ofrecimiento de apoyos sociales, y la gente cae redondita.
El modus operandi es muy parecido al que se ha visto durante muchos años en físico, nada más que ahora se presenta de manera digital”. En segundo lugar, se ha observado el aumento en casos de ransomware que han sufrido compañías de todos los tamaños, desde las chiquitas hasta paraestatales como Pemex, SE o Mapfre. A nivel global, en 2020 han crecido 715% los reportes de ataques por ransomware de un año a otro, de acuerdo con el Reporte de amenazas de mediado de año del 20202, de Bitdefender.
La estrategia nacional es comparable con la de otros países
Aún cuando México ha sido criticado por no incorporar más delitos relacionados con tecnología, sigue la tendencia de países como Francia, que ha tenido un gran avance. En Francia por ejemplo se tiene una agencia nacional de seguridad informática desde 2009. En 2015 se publicó en español la Estrategia Nacional Francesa para la seguridad del ámbito digital, que está basada en una ley de república digital. Algo similar a la visión del sexenio pasado de la estrategia digital nacional.
En EE.UU., mientras tanto, existe el mismo modelo que en México: no hay como tal un catálogo especializado de delitos, no hay una ley de delitos informáticos, pero en la práctica se incorporan o se adecuan algunos tipos penales comunes al entorno informático.
Un tema especialmente delicado en materia de legislación informática es el de la violencia digital, que puede comenzar con la difusión sin consentimiento de imágenes, videos o audios personales. El 3 de diciembre de 2019 se aprobó en el Congreso de la Ciudad de México la llamada “Ley Olimpia”, un conjunto de reformas a Códigos Penales de las entidades federativas, así como a la Ley general de Acceso de las mujeres a una vida libre de violencia.
Estas reformas reconocen la violencia digital como un tipo de delito que consiste en actos de acoso, hostigamiento, amenazas, vulneración de datos e información privada, así como la difusión de contenido sexual (ya sean fotos, videos o audios), sin el consentimiento o mediante engaños a una persona.
En marzo de este año, la Ley Olimpia ya estaba vigente en 16 estados de la República Mexicana: Puebla, Yucatán, Ciudad de México, Oaxaca, Nuevo León, Querétaro, Baja California Sur, Aguascalientes, Estado de México, Guerrero, Coahuila, Chiapas, Zacatecas, Veracruz, Guanajuato y Tlaxcala. Actualmente está en debate en Sonora y se espera que este mes ingrese como reforma al Código Penal de Tamaulipas.
Alessandra Rojo de la Vega, diputada local por la Ciudad de México, de la I Legislatura del Congreso de la Ciudad de México, comentó que ya se presentó la iniciativa en el Congreso de la Unión para que esta ley tenga aplicación en todo el país.
Hay gran riesgo de que la legislación quede rezagada
Podemos considerar a grandes rasgos que México va por buen camino en legislación de delitos informáticos.
Reconociendo que hay ocasiones que las actualizaciones no se hacen adecuadamente y es fácil que la legislación se rezague. Solís citó lo que sucedió en Colombia, donde en 2019 hubo un cambio al Código Penal para crear un nuevo bien jurídico tutelado, al que llamaron “de la protección de la información y de los datos”.
En teoría, la iniciativa parecía plausible. “No obstante, al poco tiempo quedó como letra muerta porque los legisladores trataron de hacer algo muy especializado y olvidaron que los ciberdelitos son muy dinámicos”,
Se estableció el delito de phishing como tal, refiriéndose a la suplantación de sitios web para capturar datos personales (Artículo 269G); pero solamente lo enfocaron a páginas web y dejaron fuera el phishing que se comete a través de redes sociales, filtros, incluso el propio SMiShing. Ya se dio el caso de una sentencia por parte de un tribunal penal colombiano en donde hubo phishing, pero el juez decidió calificarlo como fraude genérico.
El magistrado adujo que así protegería el patrimonio, más que la información.
Para #ElAbogadoCercaDeTi, esto resalta los problemas que podría haber en México si se siguiera el ejemplo colombiano. “Puede ser que los esfuerzos que se han dado en México hayan sido lentos, pero se ha hecho bien, porque al final del día, siguen siendo prácticamente los mismos delitos pero ahora se cometen a través de nuevas herramientas”.
Reformas relativas a delitos informáticos
En septiembre del 2019, la Comisión de Seguridad Pública de la Cámara de Diputados aprobó dos dictámenes para reformar las leyes General del Sistema Nacional de Seguridad Pública relativa a seguridad cibernética y de Seguridad Nacional en materia de inteligencia.
Se trata de una reforma al Artículo 211 Bis 1 del Código Penal Federal para que quede como sigue: Artículo 211 Bis 1.- Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de dos a cinco años de prisión y de trescientos a seiscientos días multa.
Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a tres años de prisión y de ciento cincuenta a doscientos cincuenta días multa.
El segundo dictamen modifica el artículo 32 de la Ley de Seguridad Nacional, e indica que para los efectos de esta normatividad se entiende por contrainteligencia a la generación de información y a las actividades dirigidas a la detección, localización y protección contra actividades de inteligencia, espionaje y sabotaje realizados o planificados por gobiernos extranjeros, individuos u organizaciones del exterior, o por el crimen organizado, con pretensiones de vulnerar la estabilidad interior.
En la orden del día del 3 de septiembre, el Senado indicó que había recibido de la Cámara de Diputados la Minuta con el proyecto de esos decretos y que los había turnado a las Comisiones Unidas de Justicia y de Estudios Legislativos.
Por eso el INAI a trabajado muchísimo en el tema de su página web del donde se listan varias categorías de datos personales:
- De identificación: nombre, domicilio, teléfono, correo electrónico, firma, RFC, CURP, fecha de nacimiento, edad, nacionalidad, estado civil, etcétera.
- Laborales: puesto, domicilio, correo electrónico y teléfono del trabajo.
- Patrimoniales: información fiscal, historial crediticio, cuentas bancarias, ingresos y egresos, etcétera.
- Académicos: trayectoria educativa, título, número de cédula, certificados, etcétera.
- Ideológicos: creencias religiosas, afiliación política y/o sindical, pertenencia a organizaciones de la sociedad civil y/o asociaciones religiosas; de salud (estado de salud, historial clínico, enfermedades, información relacionada con cuestiones de carácter psicológico y/o psiquiátrico.
- Características personales: tiipo de sangre, ADN, huella digital o similares.
- Características físicas: color de piel, iris y cabellos, señales particulares, entre otras.
- Vida y hábitos sexuales, además de origen étnico y racial.
Si bien, cualquier particular, ya sea persona física o moral, puede tratar datos personales (un colegio, un hospital, un médico, una aseguradora, un banco, una compañía telefónica, entre muchos otros), todos ellos deben observar las disposiciones previstas en la Ley.
Se define «tratamiento de datos personales» a cualquier operación que se realice con tus datos, desde su obtención, uso, divulgación, almacenamiento y hasta su cancelación y supresión.
Cabe señalar que no están sujetos a las disposiciones de esta ley: Las sociedades de información crediticia (buró de crédito) debido a que ya se encuentran reguladas por la Ley de las Sociedades de Información Crediticia, así como quienes traten (personas físicas o morales) los datos con fines exclusivamente personales, sin afán de divulgarlos o utilizarlos de manera comercial, como sería el caso del directorio telefónico de los amigos y contactos personales.
En la LFPDPP se establece que “los poseedores de los datos deben dar a conocer a los titulares, la información que de ellos se recaba y los fines para los cuales serán utilizados sus datos, a través del aviso de privacidad”.
La normativa indica que se deben establecer y mantener las medidas físicas, técnicas y administrativas para proteger la información personal ante el daño, pérdida, alteración, destrucción o uso no autorizado. Las organizaciones no pueden adoptar medidas de seguridad inferiores a las que implementan para proteger su propia información.
En caso de incumplimiento se podrán imponer sanciones desde 100 a 320,000 días de multa y/o de tres meses a tres años de cárcel a cualquier persona autorizada para procesar datos personales que, con fines de lucro, provoque una violación de seguridad que afecte a las bases de datos; de seis meses a cinco años de cárcel a cualquier persona que, con el objetivo de obtener ganancias ilegales, procese los datos personales engañosamente.
Y tu querida amiga o amigo lector de la columna semanal de #ElAbogadoCercadeTi, ¿has sido víctima de un Delito Informático?
Nos leemos la próxima semana, reciban un cordial saludo y no se pierdan este próximo viernes 1 de julio a las 17:00 horas el inicio de la Tercera Temporada de nuestro programa en plataforma Opcion.Mx. ¡sonrían y el poder será suyo!
- ¿Quiénes son los muxes?
- Violencia en Medio Oriente, Israel Contra Hezbollah.
- Maíz transgénico
- El maíz en México
- Los pueblos originarios en México
- LA INJERENCIA DE ESTADOS UNIDOS Y CANADÁ, EN TORNO A LA REFORMA DEL PODER JUDICIAL EN MÉXICO.
- MARÍA ELENA RÍOS CONTRA LA VIOLENCIA ÁCIDA Y POLÍTICA
- La Reforma Judicial en México y la Desigualdad Social en la Impartición de Justicia
- Kamala Harris contra Donald Trump, la diversidad frente a la intolerancia
- Donald Trump y el riesgo para los migrantes.