Facultad de Derecho - Universidad de Buenos Aires Instituto de Derecho de las Comunicaciones
 
AÑO II | Nº 6
   

 

 
Ataques contra los sistemas de infomación
[Actualidad]
Raúl Martínez Fazzalari
Profesor en la UBA y
en la Universidad Austral
...................................................................................................................................................................................


1. UNO

El día 24 de febrero de 2005 el Consejo Europeo aprobó la decisión marco bajo la denominación Nº 2005/222/JAI, por la cual se efectúo una serie de recomendaciones a los Estado miembros relativos a las definiciones, tipificación, sanciones y medidas a adoptar por los mismos, vinculadas con los delitos de intromisión en los sistemas de información de los países miembros.

Esta decisión marco girada a los Estados de la Unión son pautas, metas y acciones que deberán ser adoptadas, concretadas y recogidas en sus legislaciones internas antes del 16 de marzo de 2007.

El presente trabajo referirá sobre los objetivos buscados y fijados, tratará sobre la tipificación de delitos de acceso e intromisión ilegal en bases de datos de información, las personas que pueden estar comprometidas en los mismos, las sanciones establecidas y las pautas para determinar las competencias de los Estados intervinientes en las sanciones del delito. Finalmente haré algunos comentarios y comparaciones con las modificaciones incorporadas a la ley de telecomunicaciones en nuestro país y su decreto reglamentario, el que ha despertado públicas y abundantes críticas y que ha sido suspendida su aplicación.

2. DOS

Se puede decir que el crecimiento de las redes de información en el mundo entero ha venido a romper con una concepción tradicional de pensar y hacer las leyes. El aplicarlas en un territorio, el tipificar conductas, establecer jurisdicciones y competencias han sido cuestiones a repensar. Perseguir a los delincuentes, se ha tornado en una situación francamente difícil de lograr con el advenimiento de los sistemas de comunicación e información absolutamente descentralizados. La naturaleza misma de Internet en par-ticular y las redes de información en general, han hecho repensar a los legisladores de todo el mundo una nueva forma de concebir, sancionar y aplicar las normas. En un es-pacio en donde no existen fronteras físicas sancionar leyes de alcance general se torna vano. En los eventuales casos de poder determinar el delito y que éste llegue a un juz-gado, otra dificultad que se presenta es la competencia de los jueces en el tratamiento de las conductas. Cuando los datos pueden estar en servidores ubicados en un país y la información se obtiene desde uno o varios territorios, cuando los datos son alterados desde ordenadores remotos o se obtiene información ilegal, siempre aparecen las mismas y recurrentes cuestiones: ¿Qué norma aplicar? ¿Cuál juez es el competente? Si a todo esto sumamos la inexistencia en la tipificación de los delitos se complica aún más su tratamiento, persecución y juzgamiento.

En los últimos años la intromisión por parte de personas en las bases de datos, sistemas en redes y computadoras personales ha sido una práctica que se ha extendido en forma vertiginosa. El incremento de los medios de seguridad, tecnologías y programas de software destinados a su prevención y protección, constituyen presupuestos considerables de las empresas privadas para prever delitos y violaciones en la seguridad. Ninguna de las previsiones en los sistemas informáticos se realiza descono-ciendo esta realidad.

Previendo sin lugar a dudas que estas prácticas aumentaran aún más en los próximos años, es importante contar con marcos legales adecuados y previsores de una nueva realidad en el accionar delictivo. Con las características propia que esto tiene, es decir la presencia de una red absolutamente descentralizada, la enorme dificultad de poder prever la totalidad de conductas que por medios electrónicos se pueden cometer, la necesidad imperiosa de colaboración entre distintos organismos públicos de seguridad pública y tal vez el elemento más importante, los acuerdos y la unificación de normas y procedimientos internacionales serán los caminos factibles que permitan la persecución de los delincuentes en un ámbito transnacional, descentralizado y anárquico.

En los últimos años la Unión Europea definió los delitos informáticos en forma genérica como todo delito que implique la utilización de las tecnologías informáticas. Los conceptos de «delincuencia informática», «delincuencia relacionada con la informática», «delincuencia de alta tecnología» y de «delincuencia cibernética» tienen el mismo significado en la medida que todos se refieren a: a) la explotación de las redes de información y comunicación sin ninguna limitación geográfica y b) la circulación de datos intangibles y volátiles por ellas.

Los principales delitos tratados por las legislaciones a nivel nacional han tratado los siguientes tópicos:

- Delitos contra la intimidad, lo que implica el almace-namiento, modificación, revelación o difusión ilegales de datos personales.
- Delitos relativos al contenido, los que abarca espe-cialmente la difusión y/o comercialización por Internet de pornografía infantil, declaraciones racistas e informa-ción que incita a la violencia.
- Delitos económicos, se vinculan con los accesos no auto-rizados y el sabotaje. Muchos países ya han aprobado leyes que abordan los delitos económicos perpetrados por computadoras y tipifican nuevos delitos relacionados con el acceso no autorizado a sistemas informáticos (por ejemplo, la piratería, el sabotaje informático y la distri-bución de virus, el espionaje informático, y la falsifica-ción y el fraude informáticos).
- Delitos contra la propiedad intelectual, estos tratan los delitos contra la protección jurídica de programas de or-denador y la protección jurídica de las bases de datos, los derechos de autor y derechos afines.

3. TRES

Dentro de este marco general veamos a continuación y en particular bajo que recomendación y pautas, la Unión Europea a través de la Resolución del Consejo 2005/222/JAI ha tratado estas cuestiones recientemente.

Entre los objetivos buscados y destacados en sus conside-randos la normativa Europea pretende aproximar y unificar cada vez más la legislación de los diferentes Estados miembros, en materia de seguridad y comunicación interestatal. Las pautas que en la legislación penal pretende la norma fijar para combatir los ataques a los sistemas de información se enmarca dentro de la política de responder con los medios y la eficacia necesaria a una nueva situación global en materia de seguridad en el medio de las comunicaciones. Así también, se establece que la búsqueda de esta respuesta deberá lograrse con la cola-boración mancomunada de los diferentes sistemas de seguridad y judiciales de los Estados miembros, a fin de continuar la lu-cha contra posibles ataques terroristas y de delincuencia orga-nizada.

Se platea la necesidad de llegar a un enfoque común respecto de los elementos constitutivos de las infracciones penales, estableciendo para ello, delitos comunes configurados como el acceso ilegal a los distintos sistemas de información y la alteración de los datos existentes en esas bases de datos.

Se remarca en reiteradas oportunidades el objetivo de lograr la necesidad de conseguir medidas de cooperación entre los es-tado miembros con el fin de perseguir y combatir eficazmente los ataque a los sistemas de informaron.

Se cita en los uno de los considerandos una serie de programas comunitarios y nacionales llevados a cabo por cada país, los que tuvieron como fin sentar las bases programáticas del desa-rrollo y crecimiento de la sociedad de la información. Se esta-blece que para lograr el eficaz complemento de los objetivos allí fijados sólo podrá ser posible con la existencia de normas que protejan y fomenten los sistemas de protección y colabo-ración entre los Estados miembros de la Unión. En este sentido es de remarcar que la seguridad en las redes de información son también objetivos fundamentales para el fomento de las mismas en aquellos países que buscan su crecimiento y expan-sión, lo que lo convierte en un punto programático fundamental en su política pública en la materia.

4. CUATRO

La norma tipifica la acción delictiva en cuatro artículos. En ellos vemos que se recomienda a los Estados miembros el adop-tar las medidas necesarias para que, “el acceso intencionado, sin autorización al conjunto o parte ilegal a los sistemas de información sea sancionable como infracción penal, al menos en los caso que no sean de menor gravedad.” Así también, deja librado a cada Estado el decidir y definir en su legislación que conductas de acceso a las bases de datos serán objeto de acciones judiciales.

En relación con la intromisión ilegal a los sistemas de infor-mación establece que cada Estado podrá adoptar las medidas necesarias para que, “el acto intencionado, cometido sin auto-rización, de obstaculizar o interrumpir de manera significati-va el funcionamiento de un sistema de información, introduciendo, trasmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informá-ticos, sea sancionable como infracción penal, al menos en los casos que no sea de menor gravedad”.

En relación con la intromisión ilegal de datos fija también que cada Estado, adopte las medidas necesarias para que, “el acto intencionado, cometido sin autorización, de borrar, dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos informá-ticos cometidos en un sistema de información sean sanciona-dos como infracción penal, al menos en los casos que no sean de menor gravedad.” Por último, estable que cada Estado garantizará que la inducción a los delitos descriptos anterior-mente, la complicad en la realización de los mismos y la tenta-tiva, sean sancionados cono infracciones penales.

Se recomienda a los Estados miembros que adopten medidas necesarias para garantizar castigos penales efectivos a la tipi-ficación antes descripta. Por ello, se aconseja adoptar acciones para que la intromisión a una sistema de información y la intro-misión de datos tengan una pena de un año a tres año de prisión como mínimo en su grado máximo, pudiendo agravarse las mismas de acuerdo con las circunstancias del caso como sería el caso de una organización delictiva.

5. CINCO

La directiva sugiere extender la responsabilidad de las personas físicas a las jurídicas. Este es el punto más curioso de observar como la responsabilidad podrá ser trasferida a las personas jurídicas, a quienes incluye como posibles actores en la comisión de estos delitos. Considero que esta parte es la más discutible y será interesante seguir de cera el proceso de legis-lación al respecto. La ambigüedad y la dificultad en poder deter-minar los alcances de la responsabilidad y la acción individual, por orden o representación de una sociedad serán muy confusas y dificultosas de poder determinar.

Las pautas para lograr esto es la recomendación de que cada Estado adopte las medidas correspondientes a fin de hacer extensiva la responsabilidad a las personas jurídicas que cometan las acciones descriptas como acceso ilegal, intromisión ilegal a los sistemas de información, intromisión ilegal de datos y la inducción, complicidad y tentativa de realizar las acciones antes enumeradas. Se establece que esta responsabilidad se extienda a las personas que actuando a título particular o como parte integrante de un órgano de la persona jurídica y que en su beneficio posea un poder de representación de dicha persona jurídica, o una autoridad para tomar decisiones en nombre de esta persona jurídica o por último una autoridad para ejercer el control en el seno de dicha persona jurídica.

El delgado límite de poder determinar la acción personal y la acción colectiva por representación será un tema de discusión y que podrá crear flancos en las empresas. Como determinarán y regularán las legislaciones particulares de cada país la forma en que se desliga a la empresa de una acción personal será un tema para seguir de cerca. Como señalábamos antes esta reco-mendación de la Unión deberá ser incorporada por los Estados miembros, por lo que veremos en los próximos meses el resul-tado concreto adoptado por los Parlamento Nacionales al respecto y veremos que alcance que le dan. Hasta donde ha-cen traspasar la responsabilidad del individuo hacia a sociedad y viceversa.

6. SEIS

En un principio decíamos que una de las más recurrentes dificultades que se presenta a la hora de combatir estos delitos es la dificultad de poder restablecer que gobierno y bajo que legislación se podría juzgar una acción de estas características.

Veamos que pautas ha recomendado el Consejo Europeo a sus Estados miembros para poder intentar fijar las pautas de la competencia en la comisión de los delitos de acceso a las redes de información. Estas son: a) cuando total o parcialmente se cometa el delito en el territorio, b) cuando los cometa uno de sus nacionales, y c) cuando se realice en beneficio de una persona jurídica que tenga su domicilio social en el territorio de ese Es-tado miembro.

Cuando una de los Estado fije su competencia de acuerdo con el apartado en que el delito se comete total o parcialmente en su territorio se deberá garantizar que su competencia incluya en los casos en que: a) el autor de la infracción comete ésta estando físicamente presente en su territorio, independien-temente de que la infracción se cometa o no contra un sistema de información situado en su territorio, b) La infracción se co-mete contra un sistema de información situado en su territorio, independientemente de que el delincuente cometa o no la infrac-ción estando físicamente presente en su territorio.

7. SIETE

Dado este antecedente, creo que resulta interesante traer a estudio y comentar brevemente los recientes artículos incorpo-rados a la ley de telecomunicaciones y el decreto que los regla-mentó a fin de hacer un paralelo con la norma que describo anteriormente y la suspendida normativa argentina.

No hace mucho conocíamos el decreto Nº 1.563/04, (por ahora suspendido) el que reglamentó las incorporaciones apro-badas por la ley 25.873 del 17 de diciembre del 2003, a la ley 19.798, incorporando los artículos 45 bis, 45 ter y 45 quáter al mencionado y vetusto texto conocido como la “Ley de Teleco-municaciones.”
El decreto 1.563/04 fue firmado el día 8 de noviembre del 2004 y con su total de 8 artículos que lo forman ha provocando reacciones de público y masivo conocimiento que hicieron que el mismo PEN suspendiera la aplicación del mismo.

Entre sus pobres considerandos se hace referencia al “combatir delitos”, al “servir a la seguridad colectiva” y establecer “temperamentos de acción concretos y dinámicos” para lograr la interceptación de las telecomunicaciones de acuerdo con la experiencia normada en otros países, “con resultados eficaces tanto en el ámbito público como el privado”.

Sorprende el artículo 2 inciso e) cuando establece que “Los prestadores de servicios de telecomunicaciones no podrán, bajo ningún concepto, incorporar arquitectura de redes, tecnología ni equipamiento que impida la interceptación en forma remota de las comunicaciones conforme a los procedimientos legalmente establecidos. Tampoco podrán incorporar servicios que pudieren entorpecer, limitar o disminuir, de cualquier manera, la obtención de la interceptación y de toda la información que se prevé en el presente.”

Las empresas proveedoras de servicios de telecomunicaciones tanto en la Argentina como en todo el mundo, buscan en todo momento precisamente la incorporación de estructuras que lo-gren evitar la interceptaron de comunicaciones remotas. Es decir que lo que aquí se pretende obligar es uno de los valores más importantes para la prestación privada de comunicaciones. La incorporación de tecnologías tanto de software como hardware que impidan que terceros penetren y obtengan información de clientes abonados a empresas es una de los requisitos fundamentales a la hora de contratar los servicios de un pro-veedor. No se puede sostener un argumento que posibilite a las empresas dejar abierta su estructura de comunicación, a sabiendas de la realidad de facilidad de acceso que existe hoy en día. Por otro lado es impensado que se sostenga por medio de un marco regulatorio la inseguridad de las comunicaciones. La tendencia mundial al respecto es incrementar, el control por todos los medios técnicos para evitar interceptaciones, apro-piaciones y uso ilegales de la información trasmitida.

En el mismo artículo, en el inciso i) se fija también que, “los operadores deben poner a disposición los medios técnicos y humanos necesarios para que esa información pueda ser recibida en tiempo real y en condiciones de ser interpretada por el órgano del Estado encargado de ejecutar las interceptaciones…” La imposibilidad fáctica de poder controlar en tiempo real la totalidad de comunicaciones hace que esto devenga un deseo abs-tracto, ya que incluso desde le punto de vista material, no habría capacidad suficiente para procesar en tiempo real la totalidad de información que se trasmite por cualquier medios. Piénsese que se hable siempre de servicios de telecomunicaciones, lo que abarca a las comunicaciones locales, interurbanas, internaciones, por celulares, transmisión de datos, videoconferencia, valor agregado y acceso a Internet. La sola enumeración de todos estos servicios hace inaudito que alguien pueda brinda en tiempo real esta información a cualquier órgano estatal.
En el artículo 3º estableció la obligación a los proveedores de dar acceso a los datos contractuales y actualizados con sus clientes, lo que incluye la ubicación geográfica y demás datos respecto de los abonados. Dentro de esa inteligencia fijó la obli-gación que los licenciatarios de servicios de telecomunicaciones deberán conservar los datos filiatorios de sus clientes y los regis-tros originales correspondientes a la demás información aso-ciada a las telecomunicaciones, por el término de diez años.

Cuándo una lee el texto del decreto surgen un par de conclusiones, la primera que la inaplicabilidad de los requisitos y tecnologías descriptos para ser incorporadas en los prestadores. En segundo lugar que lo que pretendió la norma es precisamente contrario a lo que toda empresa que ofrece comunicaciones pretende ofrecer y brindar a sus clientes, es decir segu- ridad, privacidad y confidencialidad en las comunicaciones por las que los usuarios confían en ellas. Y si comparamos el texto aprobado y suspendido, (pero no derogado) con el de las recomendaciones de la Unión Europea, vemos que precisamente una y otra tendencia mundial en la materia. Una evita o trata de evitar la intromisión de terceros en las comunicaciones y el otro precisamente posibilita la intromisión de estado y de terceros en la interceptación uso y disposición de bases de datos.

8. OCHO

Es oportuno resaltar que en casi todo el mundo el crecimiento de los delitos ha ido en aumento, las estadísticas e informes de seguridad y las noticias públicas dan cita de importantes ataques en forma casi semanal, los que se vinculan principalmente con robo de claves de accesos bancarios, acceso a tarjetas de crédito, bases de datos privadas o públicas. Es evidente el alto valor en le mercado ilegal de esas informaciones.

Me pregunto si es posible elaborar una conclusión generales y alguna metodología de regulación (si la debe haber) para el tratamiento de estos temas. Pareciera que el complemento de cualquier plan de desarrollo de la sociedad de la información no se puede dar, en la actualidad, sin un conjunto de normas jurídicas que resguarden la privacidad y seguridad de las redes y que acompañe la lucha de esta realidad. Y que estas normas jurídicas tampoco pueden desconocer la realidad técnica exis-tente y pretender que por lo escrito en una norma se determine el desarrollo de una situación que en la realidad se da de otra forma.

Es positivo que no existe ninguna disposición en nuestro marco normativo que pretenda regular el uso y aplicación de las tecnologías y/o medio de acceso. No regular tecnologías es la tendencia para que converjan sistemas, medios, servicios y contenidos. La línea de prestación de tecnologías, servicios y acceso por parte de empresas independientes, con objetos sociales diversos y competidoras entre sí, se ha desdibujado en los últimos años. Este será el horizonte regulatorio en los próximos años. Esto implicará un creciente aumento de las comunicaciones, de prestadores y aplicaciones, por todas las redes. Por ello la regulación aislada de servicios y accesos será inútil por parte de los órganos reguladores.

En materia legislativa el objetivo será el armonizar las dispo-siciones nacionales en materia de delincuencia informática de-biendo ser complementadas mediante medidas no legislativas, como por ejemplo la creación de unidades nacionales especia-lizadas de formación permanente y especializada de policías y personal de seguridad de la administración. La ley nunca debería desconocer la realidad técnica que pretende regular. ©

 

 
 
Editorial

Alberto Gabrielli