Conferencia dictada por el Fiscal Sáenz en el Tercer Congreso Iberoamericano de Investigadores y Docentes de Derecho e Informática, llevado a cabo en Mar del Plata los días 22 y 23 de mayo de 2014.
Este Congreso constituye un ámbito muy propicio para analizar y actualizar los contenidos referidos a esta temática de la Delincuencia Informática, tanto en el aspecto del Derecho Penal de Fondo -esto es, la ley vigente, los delitos pendientes de sanción legislativa y la incidencia en la materia del Anteproyecto de Código Penal- como de la necesidad de incorporar normas procesales que incluyan el tratamiento de la evidencia digital que genera hoy en día cualquier investigación penal. Esta es, básicamente, la agenda de mi intervención.
En esta nueva oportunidad que tenemos de poder referirnos a estos temas creo que sería oportuno actualizar los contenidos referidos a los delitos más importantes, y puntualizar las cuestiones pendientes en el combate contra esta nueva delincuencia, que ya va alcanzando los primeros lugares en la extensión del daño causado a los ciudadanos de todo el mundo.
Debemos recordar también aquí que esta nueva forma de delincuencia ha generado en el mundo un cuadro problemático que debe ser enfrentado enérgicamente, y de manera concertada por todos los países. Veamos rápidamente. El delito informático ha puesto de manifiesto la falta de leyes adecuadas como así también la falta de controles estatales efectivos, por ejemplo, en la regulación que deben tener las empresas proveedoras de conexión a Internet (ISP, en su sigla en inglés). Otra cuestión a tener en cuenta es la existencia de nuevas relaciones jurídicas que antes no existían, como la del proveedor de Internet y su cliente, o la de la empresa de hosting y el titular de un sitio web. Surge clara además en esta materia, la necesidad de integrar al Sector Privado para el desarrollo ordenado e integrador de las nuevas tecnologías de la información y las comunicaciones.
Frente a este panorama pincelado rápidamente, debemos destacar que en los últimos años los Estados han seguido claramente tres ejes en el combate de esta nueva delincuencia.
En primer lugar, la reforma legislativa reviste una importancia central. Tanto en el capítulo del derecho penal llamado material, o sea lo que se refiere a la necesidad de prever nuevos delitos en los Códigos Penales, como en el referido al derecho procesal penal, donde se percibe la necesidad de crear nuevas reglas que incluyan la prueba digital en el proceso judicial y prevean ciertas situaciones de la investigación que resultan novedosas, como luego veremos.
En segundo término, hay que mencionar la búsqueda de ámbitos internacionales de cooperación en la investigación de estos delitos. El carácter transnacional que por definición revisten estas figuras, y su condición en muchos casos de crimen organizado internacional, como ocurre con grupos organizados de pedófilos que distribuyen pornografía infantil, tornan como judicial, para una lucha más eficaz contra estos hechos ilícitos. En este punto se destaca el proceso que ha iniciado la Argentina para la adhesión al sistema de cooperación del Convenio Europeo contra el Ciberdelito, conocido como Convención de Budapest de 2001.
En tercer lugar, existe una cuestión fundamental en esta problemática, que es la capacitación de todos los operadores del sistema penal, tanto policías, como fiscales y jueces. Se ha detectado en muchos casos la existencia de una importante brecha en estos temas, entre los conocimientos de los delincuentes y de quienes deben combatirlos. Esta necesidad de capacitación ha derivado actualmente en la especialización como forma más eficaz para combatir esta delincuencia, como veremos más adelante.
A partir de esta introducción, pondremos al día la información sobre las modalidades más extendidas en materia de Delitos Informáticos, las reformas pendientes, especialmente las referidas a la ley procesal, y la influencia que arroja sobre esta temática el Anteproyecto de reforma del Código Penal, conocido recientemente.
Derecho Penal de fondo
Un análisis de la realidad argentina en esta materia debe comenzar necesariamente por la ley 26.388 de Delitos Informáticos, sancionada en junio del año 2008, en cuyo debate en el Congreso Nacional tuve la fortuna y el honor de intervenir, como surge del Dictamen de las Comisiones de Comunicaciones e Informática y de Legislación Penal de la Cámara de Diputados.
Desde luego que un análisis exhaustivo de los tipos penales incluidos en la reforma excedería los límites de mi intervención, por lo que me limitaré a analizar los dos grupos de delitos que más se han extendido en estos años, esto es, las estafas y los ilícitos que tienen a los niños como víctimas.
Solamente quiero recordar con una rápida enumeración los delitos previstos en la ley 26.388, y la circunstancia de que fueron incorporados al Código Penal, es decir, no forman parte de una ley especial. Estos son:
• Acceso ilegítimo a un sistema informático (art. 153 bis CP).
• Acceso, intercepción, y publicación de comunicaciones electrónicas (arts. 153 y 155 CP).
• Delitos en perjuicio de bancos de datos personales (art. 157 bis CP).
• Estafa informática (art. 173, inc. 16, CP).
• Daño a un sistema informático, y sabotaje (arts. 183 y 184 CP).
• Interrupción de cualquier tipo de comunicación electrónica (art. 197 CP).
• Producción, financiación, distribución y tenencia de pornografía infantil en Internet.
Estafas Informáticas
En sus muchas modalidades es el delito informático que más se comete y las estadísticas sobre los perjuicios patrimoniales que causa crece año a año. Se estima que los mails maliciosos (para obtener información sensible de los usuarios mediante engaños y así llevar a cabo las estafas) crecieron un 71% entre 2011 y 2012.
En el año 2011 se me encomendó un relevamiento en todas las Fiscalías Federales y Nacionales del país, de las causas penales iniciadas por Delitos Informáticos. De ese trabajo que se hizo por primera vez surgió claramente que uno de los delitos que más se cometen son las estafas en perjuicio de particulares (o de empresas) por el uso fraudulento de la herramienta informática en las transacciones financieras.
Sin duda es en nuestro país el "Phishing" la maniobra más extendida entre las defraudaciones informáticas. Mediante el envío masivo de virus o software malicioso que hacen parecer a la página abierta por el usuario (Phishing viene a cuento de “quien muerde el anzuelo”) como la auténtica de su banco, se provoca que al escribir en el teclado la clave de seguridad, ésta sea enviada al delincuente, quien procede a transferir dinero de la cuenta del damnificado a otra, cuyo titular puede, por ejemplo, sacar el efectivo y enviarlo a otro país por correo. También puede enviarse el virus y este “espera” a que el usuario escriba sus claves y la estafa sigue el mismo camino. En gran cantidad de estos casos, además, se están utilizando computadoras robots, es decir, máquinas cuyo control está tomado por delincuentes informáticos sin que los usuarios lo podamos advertir, y los correos con los virus figuran luego como enviados de estas máquinas con lo que se enmascara la llamada “dirección IP” (Internet Protocol), impidiendo la identificación del autor real de la maniobra.
Además de la modalidad de la defraudación de tipo bancaria, se calcula que alrededor de 50% de los fraudes que se comenten a nivel mundial se efectúan a través de operaciones de comercio electrónico. Esto se debe, entre algunas otras cosas, a que los usuarios siguen revelando información a través de correos phishing, lo que provee a los delincuentes de la información necesaria para emitir instrucciones de compra a través de Internet. En otras palabras, el delincuente obtiene datos a través del phishing y los utiliza tanto en cuentas bancarias como en compras on line.
Igualmente no podemos perder de vista que la información también puede vulnerarse de muchas otras formas, como perder de vista la tarjeta cuando se realizan pagos en comercios o incluso por el extravío de los estados de cuenta.
Según estudios avanzados, las características de un correo de phishing son las siguientes:
• Uso de nombres de reconocidas organizaciones.
• El correo electrónico del remitente simula ser de la compañía en cuestión.
• El cuerpo del correo presenta el logotipo de la compañía u organización que firma el mensaje.
• El mensaje insta al usuario a reingresar algún tipo de información que, en realidad, el supuesto remitente ya posee.
• El mensaje incluye un enlace.
El enlace es un componente importante del ataque. Cuando el usuario hace clic sobre él es direccionado a un sitio web donde podrá ingresar la información solicitada en el correo electrónico. A pesar de que el texto sobre el que usuario haga clic indique una dirección web válida, el mismo puede direccionar a cualquier otro sitio web, en este caso, el sitio falsificado. De esta forma el correo induce al usuario a clickear sobre los vínculos del mensaje.
Como técnica de Ingeniería Social, el phishing utiliza el factor miedo para inducir al usuario a ingresar la información en el sitio del atacante. Un aviso legítimo de caducidad de información (como contraseñas, cuentas de correo o registros personales), nunca alertará al usuario sin el suficiente plazo para que este gestione las operaciones necesarias en tiempos prudenciales. Mensajes del tipo "su cuenta caducará en 24hs." o "si no ingresa la información en las próximas horas..." son frecuentemente utilizados en este tipo de ataques.
Finalmente diremos que existen actualmente otras formas de estafa electrónica derivadas del phishing y de características similares. Entre ellas podemos mencionar:
• Pharming: Consiste en atacar los servidores de un sitio y direccionar el tráfico legítimo a un sitio web falsificado. En este caso, cualquier usuario que intente ingresar en el sitio web original, a pesar de ingresar correctamente la dirección del sitio web, es direccionado a otro servidor donde se encuentra alojada la página web del atacante, simulando, como en el phishing, ser la web original.
• Vishing: El atacante falsifica el identificador de llamadas utilizando las comunicaciones llamadas de voz sobre IP (VoIP) del ordenador. En este ataque, la diferencia radica en el medio a través del cual la víctima es contactada. Otra técnica de este ataque utiliza el mismo medio que el phishing tradicional (correo electrónico) y el usuario es enlazado a un número telefónico donde se falsifica la atención al cliente de cierta organización y se solicita el ingreso de información personal a través del teléfono.
• Smishing: Se llama así al phishing por mensaje de texto de telefonía celular (SMS). El usuario es contactado a través de un mensaje de texto en su celular y es invitado a contactar telefónicamente a la organización para verificar sus datos personales.
Delitos Informáticos relacionados con los niños
Veremos ahora cómo esta delincuencia que utiliza a la tecnología como medio daña a una de las capas más vulnerables de la sociedad, la niñez.
Hasta hace pocos años contábamos a la distribución de pornografía infantil en la red como uno de los principales delitos informáticos, en realidad, como el más grave y aberrante ya que tiene a los niños como víctima y se retroalimenta con otras conductas ilícitas cada vez más extendidas como el turismo sexual infantil y la trata de personas menores de edad.
Sin embargo, los riesgos que corren los niños derivados de las nuevas tecnologías se han visto agravados a partir del auge de las redes sociales. La extensión que ha tomado Internet, con conexiones cada vez más veloces y económicas, así como la posibilidad de acceder sin necesidad de tener una computadora en la casa, sea a través de los lugares públicos (los “cyber”) o los dispositivos móviles, ha logrado un nivel de conectividad que en el caso de Argentina, está a la vanguardia de Latinoamérica en cuanto al porcentaje de la población total, e incluso mayor que la media mundial.
Me referiré brevemente al delito conocido como grooming, sancionado en nuestro país en diciembre del año pasado (2013) por ley 26.904. Se trata un acoso virtual, una serie de acciones que ejerce un mayor de edad sobre un niño a fin de captar su confianza para obtener alguna concesión de índole sexual. Puede ser que se trate de imágenes del cuerpo del niño, videos en los que se saca la ropa, o se masturba, pudiendo llegar, por engaño o por coacción sicológica, hasta el encuentro personal con el niño y el riesgo de un abuso "real". Todo este abanico de posibilidades ya ha ocurrido en todo el mundo y también en nuestro país, y por ello era imperioso legislar esta conducta como delito. A finales de 2011 el Senado otorgó media sanción a un proyecto de ley para incorporar esta figura en el Código Penal argentino, que generó muchas críticas referidas a que se intentaba penar sólo una intención sexual hacia el menor sin tener el necesario reflejo en una acción concreta del autor.
La Cámara de Diputados recogió las críticas y sometió el proyecto a un proceso de reformulación en el seno de las Comisiones de Legislación Penal y de Familia. Fui convocado junto a otros especialistas en dos oportunidades a reuniones donde se hallaban representadas varias organizaciones de la sociedad civil, algunas a favor y otras en contra de la sanción de este delito, además de diputados de varias bancadas que se propusieron mejorar el texto proveniente del Senado sin ninguna especulación política o electoral. Mi mayor satisfacción de esa experiencia fue comprobar que los legisladores se encuentran profundamente preocupados por esta cuestión y por otras conductas que se están presentando en la realidad que vivimos al estar permanentemente conectados a internet y que perjudican fundamentalmente a los niños y jóvenes, en especial por el desarrollo de las redes sociales. Comprenden, en suma, que no se trata de una simple intención sino que estamos en presencia de conductas con un suficiente contenido de injusto como para merecer la pena estatal. Pensemos en un mayor que logra ganar la confianza de un niño o niña y lo convence de obtener imágenes de su cuerpo desnudo para después comercializarlas o hacerlas circular entre sus compañeros de colegio. Es cierto que no le ha "tocado un pelo" a ese menor pero ha cometido claramente un abuso virtual que debe ser delito, por el grave daño que provoca en los menores, y por la gran extensión que vienen alcanzando este tipo de comportamientos.
A pesar de que la Cámara de Diputados propuso una redacción técnicamente superior, el Senado insistió con su media sanción original que hoy constituye el texto del art. 131, que dice así: "Será penado con prisión de seis (6) meses a cuatro (4) años el que, por medio de comunicaciones electrónicas, telecomunicaciones o cualquier otra tecnología de transmisión de datos, contactare a una persona menor de edad, con el propósito de cometer cualquier delito contra la integridad sexual de la misma."
Si bien no existen en nuestro país estadísticas serias que indiquen cómo se desenvuelven estos delitos no hay dudas que el número de investigaciones de hechos donde niños y niñas resultan acosados a través de la web ha ido aumentando año a año. En las encuestas que Microsoft realiza todos los años en nuestro país surge claramente que un porcentaje del 30 o 40% de los adolescentes ha conocido personalmente a alguien que lo había contactado por Internet y del que no tenía ninguna referencia. Este porcentaje crece en la franja superior, la de jóvenes de 16 a 18 años. Veremos enseguida que por esta razón nos oponemos a la baja de la edad del grooming que propone la reforma del Código Penal.
Anteproyecto de reforma del Código Penal
Este documento que ha generado ya tanta polémica incluye el tratamiento de los delitos informáticos a lo largo de varios artículos. En esta materia el anteproyecto tiene algunas particularidades destacables, que podríamos dividir entre las que consideramos adecuadas y las que no compartimos. Entre las primeras quisiera destacar que se conservan los delitos relacionados con las comunicaciones electrónicas, los accesos ilegítimos, los daños, y el fraude en su modalidad informática. Se incorpora también el robo de identidad, que era uno de nuestros más fuertes reclamos, pero no así el ataque por denegación de servicio que también ha crecido mucho en los últimos tiempos.
En cuanto a las críticas, en primer lugar debo referirme al delito relacionado con la distribución de pornografía infantil en la red, ya que si bien se le sube la pena, se ha quitado la figura de la tenencia de material pornográfico con fines de distribución o comercialización, una cuestión que a mi juicio requeriría un estudio más profundo en una modalidad de mucha gravedad que está creciendo exponencialmente en el mundo entero. También se suprimió de la descripción del tipo penal la alusión a la representación de las partes genitales del niño con fines predominantemente sexuales. En realidad, el error es haber prescindido de la definición de pornografía infantil adoptada por la ley 26.388 que proviene del Protocolo Relativo a la Venta de Niños, la Prostitución Infantil y la Utilización de los Niños en la Pornografía, que complementa la Convención de las Naciones Unidas sobre los Derechos del Niño. Este Protocolo fue adoptado para nuestro país por la ley 25.763.
Otra objeción que formulamos, como ya anticipara, tiene que ver con la regulación del delito de grooming, al que el anteproyecto le reduce la edad de la cobertura legal, limitándola sólo a los menores a los 13 años. Como ya dijimos, la mayoría de las conductas que encuadran en esta figura tiene como víctimas a los adolescentes de mayor edad.
Por último quiero destacar que también se ha bajado sensiblemente la pena del delito de trata de menores de edad, hoy previsto con 10 a 15 años de prisión, conforme la reforma al art. 145 ter del Código Penal introducida en diciembre de 2012 por la ley 26.842. El anteproyecto desdobla la edad de los menores y fija una pena de 4 a 15 años de prisión si se trata de menores en general, aumentando a 8 años el mínimo cuando la víctima fuese menor de 13 años. Es decir que en la franja de 13 años y un día a 18 años de edad, el mínimo de la pena es tan solo de 4 años de prisión.
No es este el ámbito para plantear la discusión sobre la incidencia del monto de la pena en la comisión de los delitos, pero entiendo que el Estado argentino no debería bajar sustancialmente la pena prevista para un delito en el que ha puesto tanto empeño en su persecución a través de múltiples agencias creadas al efecto y gran cantidad de convenios internacionales suscriptos.
Necesidad de reformar el Código Procesal Penal Nacional
Para terminar haré una breve referencia a un Proyecto de reforma en el que tuve oportunidad de participar en 2011. Se trató de una Comisión con miembros del Ministerio de Justicia y de la Jefatura de Gabinete de Ministros de la Nación, y en ese ámbito avanzamos con la letra de un proyecto de reforma del Código Procesal Penal, donde se prevén normas referidas al tratamiento de la prueba digital, y se incluye la regulación de los poderes de los jueces y los fiscales en el curso de una investigación, respecto de un proveedor de servicios informáticos, especialmente el de acceso a internet. Tenemos que destacar que esta regulación que se propuso en el proyecto está en línea con las medidas procesales previstas en la Convención de Budapest, que nuestro país deberá reformar para completar el proceso de adhesión.
Se estableció, por ejemplo, cómo ordenar a un proveedor que congele una cuenta, o que provea a la Justicia los datos de conexión de una cuenta, o los datos del cliente, o de la cantidad de veces que se conectó con esa cuenta. El proyecto prevé también la potestad, en este caso, sólo de los jueces, de solicitar los logs de conexión de comunicaciones electrónicas, y aún del contenido en tiempo real de dichas comunicaciones. Estas medidas son adoptadas en la actualidad en las investigaciones penales en nuestro país por aplicación de normas análogas previstas para la prueba física, no la digital, son medios probatorios que se encuentran dentro de las facultades genéricas de los jueces y fiscales, pero no están previstas expresamente, con lo cual el Código queda antiguo.
Es necesario entender en materia procesal que la clave para el tratamiento de la prueba electrónica es la cadena de custodia. Para decirlo brevemente, el Estado tiene que garantizarle al imputado que los mismos datos con que le secuestró la computadora de su domicilio, son los que el perito analizó y volcó en su informe, hasta que finalmente, máquina y pericia son puestas a consideración de un tribunal en un juicio oral y público.
Cuestiones finales
A modo de cierre podemos reiterar la consigna de que el combate contra la delincuencia informática requiere por parte de los Estados un fuerte compromiso, tanto con el resto de los países como con sus ciudadanos.
La cooperación internacional resulta imprescindible, ya no podemos llevar adelante investigaciones pidiendo la colaboración de otro país mediante un exhorto diplomático que demora meses. La prueba digital es muy volátil y requiere otros tiempos y mecanismos para su tramitación internacional. Los acuerdos que en los últimos años se han firmado entre países para el combate del crimen organizado transnacional van en ese sentido.
Por último, la investigación de esta delincuencia tan tecnificada y sofisticada requiere de otra herramienta fundamental que es la especialización, es decir, la creación de organismos especializados policiales y judiciales para llevar adelante las investigaciones penales. Se ha comprobado que no es posible ni razonable pretender la capacitación de todos los jueces y fiscales penales en temáticas tecnológicas tan duras como las que platean los delitos informáticos. Por ello se va abriendo camino decididamente la tendencia a crear Fiscalías Especializadas, y es de esperar que ese el temperamento que siga nuestro país en el ámbito nacional.
Sólo se requiere la decisión política de hacerlo.
Comentarios