SPAM, SCAM Y PHISHING ¿DELITOS INFORMÁTICOS TÍPICOS

SPAM, SCAM Y PHISHING ¿DELITOS INFORMÁTICOS TÍPICOS? MAESTRÍA EN DERECHO DE EMPRESA Derecho de Contratos I Presentado por: Andrea Leticia Sánchez Barrera Francisco Josué Rojas Mojica Hazel Cabrera Ávalos Karla América Gallardo Salazar Oscar Antonio Haim Luna Vilma de los Ángeles Escobar Felizzari 00114507 00155102 00479111 00131907 00329614 00479311 Para: Lic. Carlos Zablah Antiguo Cuscatlán, 9 de julio de 2015 Spam, Scam y Phishing ¿Delitos informáticos típicos? 1 Derecho de Contratos I ÍNDICE INTRODUCCIÓN 1. DEFINICIÓN DE DELITOS INFORMÁTICOS 2. SUJETOS DEL DELITO INFORMÁTICO 2.1. SUJETO ACTIVO 2.2. SUJETO PASIVO 3. BIEN JURÍDICO PROTEGIDO 4. EL CONVENIO DE BUDAPEST Y LA CLASIFICACIÓN DE DELITOS INFORMÁTICOS 4.1. FALSEDAD DOCUMENTAL 4.2. DEFRAUDACIÓN EN FLUIDOS DE TELECOMUNICACIONES 4.3. ESTAFA INFORMÁTICA 5. SOBRE EL SPAM, SCAM Y PHISHING 5.1. SPAM 5.1.1. Definición 5.1.2. Origen del término Spam 5.1.3. El problema del Spam 5.1.4. Formas de Spam 5.1.5. Formas de prevenir el Spam 5.6.1. El Spam en otros países 5.2. SCAM 5.2.1 Definición 5.2.2 Generalidades 5.2.3 Funcionamiento del Scam 5.2.4 Características del Scam 5.2.5 Tipos de Scam 5.3. PHISHING 5.3.1. Historia del Phishing 5.3.2. Phishing y Pharming 6. SPAM, SCAM Y PHISHING ¿DELITOS INFORMÁTICOS TÍPICOS EN EL SALVADOR? 6.1. GENERALIDADES 6.2. DELITOS INFORMÁTICOS REGULADOS EN EL CÓDIGO PENAL 6.3. LEY ESPECIAL CONTRA LOS DELITOS INFORMÁTICOS Y CONEXOS 6.3.1. Objeto y fin de la ley 6.3.2. Regulación del Spam, Scam y Phishing 6.3.3. ¿Es necesaria una regulación especial? CONCLUSIÓN BIBLIOGRAFÍA Spam, Scam y Phishing ¿Delitos informáticos típicos? 2 Derecho de Contratos I INTRODUCCIÓN Actualmente la Internet se encuentra en todo el mundo, los mercados modernos necesitan acceso a ella para operar de una manera eficiente, y más aún una gran cantidad de personas, empresas e incluso Estados, depositan en esta Red información y datos de menor a mayor importancia e incluso secreta1, lo que nos lleva a pensar ¿Dónde se encuentra realmente esta información?, cómo podemos protegerla, si se puede acceder a ella desde cualquier parte del mundo con un simple ordenador con conexión a internet; cómo puede una persona cometer un ilícito contra otra estando a miles de kilómetros de distancia y accediendo a información privada o restringida que se encuentra en otro lugar, y de ser así bajo, qué legislación penal o de otro tipo voy a juzgar a esta persona. Todas estas interrogantes, nos llevan a meditar en que es posible que una nueva brecha de ilícitos se esté abriendo paso en nuestra realidad nacional, estamos hablando específicamente sobre los denominados “delitos informáticos”, esta clase de delitos, han llegado a constituirse como una amenaza latente para las personas, la seguridad nacional, la paz, e integridad física y patrimonial de las mismas o de un conjunto de ellas, lo que vuelve necesaria una regulación que ayude a proteger los bienes jurídicos de aquellas conductas delictivas cometidas por medio de las Tecnologías de la Información y la Comunicación (TIC) así como la prevención y sanción de los delitos cometidos en perjuicio de los datos almacenados o transferidos por medio de sistemas informáticos que afecten a la identidad, propiedad, intimidad e imagen de las personas naturales o jurídicas. Por todo lo anterior, en el presente trabajo se desarrollará la temática de los delitos informáticos, desde su definición, sujetos intervinientes, bienes jurídicos protegidos y su clasificación, enfocándonos especialmente en tres figuras relacionadas con las TIC´s y que hoy en día son bastantes conocidas, el spam, scam y phishing. Lo importante de estudiar estas figuras, será determinar si en sí mismas son consideradas delitos informáticos y porqué; además se intentará hacer un análisis de la legislación nacional tocante a los delitos informáticos y específicamente a las figuras antes mencionadas. 1 Cfr. U. SIEBER, Criminalidad informática: peligro y prevención, 13-14. Spam, Scam y Phishing ¿Delitos informáticos típicos? 3 Derecho de Contratos I 1. DEFINICIÓN DE DELITOS INFORMÁTICOS A los delitos informáticos, se le puede denominar de diferentes formas, entre estas se encuentra el de cibercrimen, delitos electrónicos, delitos relacionados con las computadoras, crímenes por computadora, ciberdelito, etc., sin embargo, en la presente investigación utilizaremos la definición de “delitos informáticos”. Esta definición ha tenido diferentes críticas en su haber, dado que muchos tratadistas y doctrinarios expresan que dicho concepto puede llegar a resultar inexacto puesto que en la mayoría de los casos las actividades criminales relacionados con la informática, no están tipificados como delitos en algunos ordenamientos jurídicos, sino que más bien se encuadran estas figuras delictivas como robos, hurtos, falsificaciones, estafas a las cuales cuando el delito es cometido mediante el uso de computadoras, se le agrega una agravante al delito primitivo, por esa razón, algunos consideran que no es lo más recomendable darle la categoría de delito, si no delimitar su contenido a crimen. No obstante lo anterior, se ha considerado que el término “delitos informáticos” en oposición a otros términos como fraudes, abusos informáticos, cibercrimen, entre otros, es el que ofrece mayor plasticidad al relacionarlo directamente con la tecnología en la cual actúa, asimismo es un término omnicomprensivo en todo el mundo2. Ahora bien, por ser una temática que no ha tenido demasiada profundización, no ha sido posible encontrar una definición propia de este concepto, ya que algunas pueden ser sumamente complejas o solamente retoman elementos esenciales del mismo. En atención a lo anterior, Julio Téllez Valdés conceptualiza al delito informático en forma típica y atípica, entendiendo por la primera a las conductas típicas, antijurídicas y culpables en que se tienen a las computadoras como instrumento o fin, y por las segundas, actitudes ilícitas en que se tienen a las computadoras como instrumento o fin3. Otros autores definen a los delitos informáticos como, todo acto intencional asociado de una manera u otra a los computadores; en los cuales la víctima ha o habría podido sufrir una pérdida; y cuyo autor 2 3 Cfr. S. ACURIO DEL PINO, Delitos informáticos: Generalidades, 13. Cfr. J. TELLEZ VALDÉS, los Delitos Informáticos. Situación en México, 11 Spam, Scam y Phishing ¿Delitos informáticos típicos? 4 Derecho de Contratos I ha o habría podido obtener un beneficio4, sin embargo, esta definición restringe a los delitos informáticos solamente al ámbito patrimonial, lo cual deriva a una concepción parcializada de este concepto ya que se debe tomar en cuenta que las conductas relacionadas con los delitos informáticos no solo pueden llegar a afectar la esfera patrimonial de una persona, sino también puede ser capaz de generar una afectación directa a otros bienes jurídicos protegidos, como son la intimidad personal, el honor, propiedad intelectual; e incluso, afectar bienes colectivos como puede ser la seguridad nacional. Por ello, hemos considerado que la definición más adecuada es realizada por autores chilenos Marcelo Huerta y Claudio Líbano, quienes definen los delitos informáticos como: “Todas aquellas acciones u omisiones típicas, antijurídicas y dolosas, trátese de hechos aislados o de una serie de ellos, cometidos contra personas naturales o jurídicas, realizadas en uso de un sistema de tratamiento de la información y destinadas a producir un perjuicio en la víctima a través de atentados a la sana técnica informática, lo cual, generalmente, producirá de manera colateral lesiones a distintos valores jurídicos, reportándose, muchas veces, un beneficio ilícito en el agente, sea o no de carácter patrimonial, actúe con o sin ánimo de lucro” Ahora, si bien es cierto no existe en nuestro ordenamiento jurídico un ley vigente que regule y conceptualice a este tipo de delitos, se encuentra en estudio un anteproyecto de Ley Especial contra los Delitos Informáticos y Conexos; la cual será analizada en apartados posteriores, en su artículo 3 define lo que se deberá considerar en nuestro país como delitos informáticos: “se considerará la comisión de este delito, cuando se haga uso de las Tecnologías de la Información y la Comunicación, teniendo por objeto la realización de la conducta típica y antijurídica para la obtención, manipulación o perjuicio de la información” Algunas de las características más sobresalientes de este tipo de delitos son:    4 Presentan dificultades para su comprobación. Provocan pérdidas económicas y daños morales. Tienden a proliferarse cada vez más. Cfr. PARKER. D.B, Citado por S. ACURIO DEL PINO, Delitos informáticos: Generalidades, 11. Spam, Scam y Phishing ¿Delitos informáticos típicos? 5 Derecho de Contratos I  Ofrecen posibilidades de tiempo y espacio, es decir, no requieren una necesaria presencia física y se consuman en cuestión de segundos, entre otras. 3. SUJETOS DEL DELITO INFORMÁTICO En derecho penal, la ejecución de la conducta punible supone la existencia de dos sujetos: un sujeto activo y otro pasivo, estos pueden ser una o varias personas naturales o jurídicas. Así, el titular del bien jurídico lesionado será el sujeto pasivo y quien lesione el bien que se protege, a través de la realización del tipo penal, será el ofensor o sujeto activo5. 2.1. SUJETO ACTIVO Cuando hacemos referencia al sujeta activo de los delitos informáticos, se trae normalmente a colación a los proveedores de servicios, así como también los hackers6, crackers7, etc., sin embargo, es de considerarse que las personas que cometen esta clase de delitos, son aquellas que poseen altas habilidades y conocimientos para el manejo de los sistemas informáticos y generalmente, por su situación laboral, se encuentran en lugares estratégicos donde se maneja información sensible o bien son hábiles en el uso de sistemas informatizados, esto es una característica que distingue al sujeto activo de un delito común con el sujeto activo de los delitos informáticos. Por esta razón es que no podemos categorizarlos puesto que son muy diversos y los que hace que se diferencien entre ellos es la naturaleza en sí del delito cometido. De esta forma, la persona que entra en una sistema informático sin intenciones delictivas, es muy diferente del empleado de una institución financiera que desvía fondos de las cuentas de sus clientes8. 2.2. SUJETO PASIVO Cfr. M. HUERTA MIRANDA – C. LÍBANO MANZUR, Los delitos informáticos. 15. Denominados también, piratas informáticos, es la persona con grandes conocimientos de informática que se dedica a acceder ilegalmente a sistemas informáticos ajenos y a manipularlos. 7 El término cracker se utiliza para referirse a las personas que rompen algún sistema de seguridad. Los crackers pueden estar motivados por una multitud de razones, incluyendo fines de lucro, protesta, o por el desafío. 8 Cfr. S. ACURIO DEL PINO, Delitos informáticos: Generalidades, 15. 5 6 Spam, Scam y Phishing ¿Delitos informáticos típicos? 6 Derecho de Contratos I Sobre el sujeto pasivo de los delitos informáticos, en la mayoría de casos no podemos hacer alusión solo a un individuo, sino que debemos considerar que victima puede ser también una pluralidad de personas, haciendo referencia a lo que se conoce como “sujeto pasivo masa”, También es común considerar como sujeto pasivo de estos delitos, a las personas menores de edad, siendo el ejemplo más claro de ello el caso de la pornografía infantil. No se puede dejar de mencionar a grupos minoritarios que pueden resultar vulnerados con dicha acción delictiva generada a través de la red; estos son los ataques colectivos o individuales de incitación al racismo o la discriminación9. 3. BIEN JURÍDICO PROTEGIDO Esta es la razón de ser del delito, es el objeto jurídico lesionado o puesto en peligro por una conducta ilícita. En general, el bien jurídico protegido de esta clase de delitos es el de la “información”, pero tiene que ser considerada en diferentes formas, ya sea como un valor económico, como un valor intrínseco de la persona por su fluidez y tráfico jurídico, y por los sistemas que la procesan o automatizan, tales como10:  El patrimonio  La reserva, intimidad y confidencialidad de los datos  La seguridad y fiabilidad del tráfico jurídico  El derecho de propiedad Dado lo anterior, podemos decir que el bien jurídico protegido no se limita solo a la información, sino que acoge a la confidencialidad, integridad, disponibilidad de la información y de los sistemas informáticos que se almacenan o transfieren. Ahora, es importante mencionar que los delitos informáticos protegen varios intereses jurídicos simultáneamente, sin perjuicio que uno de tales bienes esté independientemente tutelado por otro tipo, por tanto, podemos decir, que esta clase de delitos, no solo afectan a un bien 9 Cfr. K.I. PEÑA MARTEL, Delitos informáticos: estafas, atentados contra la propiedad intelectual y delitos contra la intimidad. 15. 10 Cfr. S. ACURIO DEL PINO, Delitos informáticos: Generalidades, 15. Spam, Scam y Phishing ¿Delitos informáticos típicos? 7 Derecho de Contratos I jurídico determinado, sino que la multiplicidad de conductas que la componen, afecta a una diversidad de ellos que ponen en relieve intereses colectivos11. 4. EL CONVENIO DE BUDAPEST Y LA CLASIFICACIÓN DE LOS DELITOS INFORMÁTICOS Como se ha analizado anteriormente, la dificultad de compaginar las diferentes legislaciones penales y la ineficacia de los criterios tradicionales de responsabilidad penal para la persecución de delitos informáticos, nos lleva indudablemente a concluir que es necesario que el derecho penal debe expandirse y que la forma más eficiente de combatir esta clase de delitos tan complejos es mediante la cooperación internacional entre Estados. Por tal razón, el Consejo de Europa en el año dos mil uno, creó el Convenio sobre la Ciberdelincuencia en Budapest, el cual si bien, no es el objeto de estudio en el presente documento, empero es importante analizar la forma en que este cuerpo legal intenta solucionar el problema de la jurisdicción aplicable a los delitos informáticos, mediante la cooperación de los países miembros. Este convenio presenta una característica importante la cual consiste en que los Estados parte están obligados a implementar medidas de derecho penal sustantivo. Estas medidas, están encaminadas a abordar aspectos importantes, como es el caso de los delitos informáticos, entre otros, he ahí la razón de la importancia para la presente investigación. Ahora bien, cabe aclarar que la clasificación de delitos informáticos que realiza el Consejo de Europa mediante este convenio, no es del todo aceptada por la doctrina pues considera que en cuanto a la categoría de delitos informáticos, no se refiere al objeto de protección sino al método para la realización de la conducta ilícita. A pesar de esta crítica, en el presente trabajo se considera que la clasificación brindad por el Convenio es de suma importancia y es necesario ahondar en él, únicamente en cuanto al tema de los delitos informáticos. El Artículo 22 de dicho convenio, referente a la Jurisdicción, establece criterios que motiva a los Estados miembros a homogenizar las legislaciones referente a estos delitos, 11 Cfr. S. ACURIO DEL PINO, Delitos informáticos: Generalidades. 22 Spam, Scam y Phishing ¿Delitos informáticos típicos? 8 Derecho de Contratos I pero lo más interesante es el párrafo quinto del mencionado artículo que establece: “Cuando varias Partes reivindiquen su jurisdicción respecto de un presunto delito contemplado en el presente Convenio, las Partes interesadas celebrarán consultas, siempre que sea oportuno, con miras a determinar cuál es la jurisdicción más adecuada para las actuaciones penales”.12 Es decir establece mecanismos de solución a la controversia de la aplicación de la ley penal a un hecho específico, atendiendo a las circunstancias de su realización. En definitiva la complejidad de estos delitos afectan de manera significante la aplicación del derecho penal, sin embargo la cooperación internacional vía tratados internacionales solventa esta problemática, homogenizando las legislaciones de manera que estos actos sean perseguidos independientemente de la forma y lugar en que son cometidos, el mencionado convenio de Budapest ha ganado adepto con la adhesión de Estados Unidos y la eventual adhesión de los países como Argentina, México, Uruguay, Chile y El Salvador. Ahora bien, el título dos del Convenio de Budapest, desarrolla lo que son los delitos informáticos, y son: La falsedad documental, defraudación en fluido telecomunicaciones y la estafa informática. Se hará una breve reseña de cada uno de ellos. 4.1 FALSEDAD DOCUMENTAL La falsedad documental es la alteración de un documento, tal puede ser un Dvd, cinta magnetofónica, fotografía, etc. Por lo general la falsedad documental tiende a ser un medio para poder llevar a cabo el cometimiento de otros delitos, como por ejemplo: cambios que puede efectuar al historial clínico de una persona o un expediente académico, incluso puede darse alteraciones a documentos notariales o registrales, siempre y cuando estos se encuentren en bases de datos. Esto es un punto muy importante, pues no es la alteración de cualquier documento, sino que es un requisito sine qua non que los documentos estén en una base de datos o subida a algún soporte informático. 12 Convenio sobre Ciberdelincuencia, Budapest 2001 Spam, Scam y Phishing ¿Delitos informáticos típicos? 9 Derecho de Contratos I El delito más común bajo la tipología de falsedad documental, es el de la falsificación de tarjetas bancarias, así como el de la reproducción no autorizada de programas informáticos, la cual puede generar pérdidas económicas para los propietarios legítimos. Este problema se ha acentuado debido a que el tráfico de las reproducciones no autorizadas es sumamente amplio en las redes de telecomunicaciones modernas. Como en nuestro ordenamiento jurídico no se encuentran tipificados como tal los delitos informáticos, estos pueden llegar a ser tipificados como falsedad documental, ampliando el concepto tradicional de documento y dando la entrada al documento informático, así se podría aplicar sin problemas a los casos de falsedades cometidas en el comercio electrónico con los tipos de falsedad de documentos regulados en el Código Penal13. 4.2. DEFRAUDACIÓN EN FLUIDO DE TELECOMUNICACIONES El Convenio incluye otro tipo de delito informático denominado defraudación en fluido de telecomunicaciones, este consiste en el apoderamiento de las energías o fluidos descritos, en dónde se usa ilegítimamente dicho elemento, provocando por consiguiente perjuicio económico en el propietario de tal elemento14. Para que este tipo de conducta sea considerada delito, necesariamente el fluido de comunicación debe ser ajeno. Esta defraudación se puede realizar valiéndose de mecanismos instalados, alterando maliciosamente las indicaciones o aparatos contadores o incluso empleando cualquier otro medio clandestino. 4.3. LA ESTAFA INFORMÁTICA La estafa informática, es aquella que con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, se consigue la transferencia no consentida de cualquier activo patrimonial en perjuicio de un tercero15. Los elementos de este tipo son: el ánimo de lucro, la transferencia no consentida de patrimonio, la acción de utilizar manipulación informática o artificio semejante y que se produzca un perjuicio patrimonial a 13 Cfr. C.M. GONZÁLEZ FLORES, El cibercrimen de estafa en la empresa salvadoreña. 21. Cfr. Op. Cit. 22 15 Cfr. Op. Cit. 27. 14 Spam, Scam y Phishing ¿Delitos informáticos típicos? 10 Derecho de Contratos I un tercero. Con la estafa informática a diferencia de la estafa común, no existe el ardid o engaño ni el error en la víctima, más bien, la estafa informática se caracteriza por ser un delito en el que no se produce una relación bilateral y personal (autor-victima) como se exige en el delito de estafa16. Dentro de las fórmulas específicas de estafa informática se encuentran17: - Spyware - Phishing (incluido el scam, smishing y pharming) - Dialers - Entre otros. La Organización de las Naciones Unidas, ha desarrollado otra clasificación de los delitos informáticos, y estos son: - Fraudes cometidos mediante manipulación de computadoras o Manipulación de programas o Manipulación de datos de entrada y de salida o Fraude efectuado por manipulación informática - Falsificaciones informáticas - Daños o modificaciones de programas o datos computarizados o Sabotaje informático    Virus Gusanos Bomba lógica o Acceso no autorizado a servicios y sistemas informáticos  Hackers o Reproducción no autorizada de programas informáticos de protección legal 16 Cfr. A. GALÁN MUÑOZ, El fraude y la estafa mediante sistemas informáticos. 557 Si bien es cierto, estas fórmulas son conocidas como formas de fraude y no de estafa como tal, se ha optado por clasificarlas de esta forma debido a que la mayoría de la doctrina sugiere denominar esas conductas como fraude informático y no estafa informática, puesto que manifiestan que no en todos los casos reúnen los elementos de una estafa informática. Sin embargo, en este trabajo se considera que el efecto es el mismo puesto que el bien jurídico que se busca proteger es el patrimonio y la acción que lo ocasiona es la manipulación informática u otro artificio semejante. 17 Spam, Scam y Phishing ¿Delitos informáticos típicos? 11 Derecho de Contratos I 5. SOBRE EL SPAM, SCAM Y PHISHING 5.1. SPAM 5.1.1. Definición De una manera general, se considera al SPAM o “correo basura” a todo tipo de comunicación no solicitada, realizada por vía electrónica. Normalmente el SPAM tiene un fin comercial, de oferta o tratar de despertar el interés en un determinado producto, servicio o empresa. Los medios de envío pueden ser diversos, aunque el más utilizado es el correo electrónico de manera masiva. Para los efectos del presente trabajo de investigación, tomamos como definición de SPAM la aportada por una de las empresas referente en la lucha de antivirus y amenazas informáticas, nos referimos a Symantec, creadores del antivirus Norton, dicha definición es: “El SPAM es la versión electrónica del correo basura. Supone enviar mensajes no deseados a una gran cantidad de destinatarios y, por lo general, se trata de publicidad no solicitada. El SPAM es un tema grave de seguridad, ya que puede usarse para enviar caballos de Troya, virus, gusanos, software espía y ataques dirigidos de robo de identidad18”. De igual manera hay dos términos que son importantes conocer para analizar el contexto del presente tema, el primero es el “SPAMMING” termino de origen inglés que significa la acción de enviar SPAM; u el otro es “SPAMMER” igualmente de origen inglés y es el nombre que reciben las personas que remiten mensajes SPAM. 5.1.2. Origen del término SPAM En el año de 1937 la empresa estadounidense Hormel Food, lanzo al mercado una carne enlatada llamada Hormel´s Spiced Ham. El fabricante recortó el nombre usando solo 18 En: http://mx.norton.com/security_response/SPAM.jsp Spam, Scam y Phishing ¿Delitos informáticos típicos? 12 Derecho de Contratos I cuatro letras SPAM, el producto tuvo un gran éxito y con el paso del tiempo la marca se convirtió en un nombre genérico. En el desarrollo de la segunda guerra mundial el SPAM fue el alimento de las fuerzas británicas y soviéticas en el frente de batalla, tiempo después el grupo de comedia británico Monty Python empezó a hacer burla de la carne en lata en un famoso sketch en donde dos comensales contemporáneos llegan a un restaurante lleno de vikingos, y preguntan a la camarera el menú, y ella comienza a mencionarle los platillos que lo componen y todos tienen como ingrediente el SPAM, mencionando dicha palabra hasta el cansancio, a los comensales no les gusta el SPAM, pero al final todos los vikingos terminan cantando SPAM, SPAM, SPAM, SPAM19. Culturalmente se asoció la palabra SPAM con algo muy abundante que no es deseado, es así como se trasmuta el término y se incorpora en informática para designar a los mensajes o correo “basura” o “no deseados”, que son enviados sin la solicitud del destinatario y que, como ya dijimos, contienen normalmente publicidad y/o ofertas comerciales. Posiblemente el primer caso de SPAM pudo ocurrir antes del surgimiento de la Internet, ya que en el año de 1978, con una carta enviada por la empresa Digital Equipment Corporation. Esta compañía remitió un anuncio sobre su ordenador DEC-20 a todos los usuarios de ArpaNet (red precursora de la Internet) ubicada en la costa occidental de los Estados Unidos. Posteriormente apareció en Usenet (red alterna a ArpaNet) un anuncio de un despacho de abogados que informaba de un servicio propio para rellenar formularios que daba acceso a un permiso para trabajar en Estados Unidos. Este anuncio fue enviado mediante un script a los grupos de discusión que existían por aquel entonces. Desde ese momento su uso se fue desarrollando hasta llegar a la situación actual en la que se ha desarrollado especialmente a través del uso del correo electrónico de forma masiva20. Actualmente todo el que tiene una cuenta de correo electrónico sin duda ha experimentado el fenómeno del SPAM, esto se debe a que han evolucionado las técnicas de 19 20 En: http://www.youtube.com/watch?v=anwy2MPT5RE En: http://www.facua.org/es/guia.php?Id=141&capitulo=1252 Spam, Scam y Phishing ¿Delitos informáticos típicos? 13 Derecho de Contratos I los SPAMMERS, para conseguir las direcciones de correo electrónico utilizadas para el envío. Además, los destinatarios no estamos lo suficientemente informados para saber qué hacer ante la recepción de un mensaje SPAM. 5.1.3. El problema del spam El SPAM representa un problema desde varios puntos de vistas, los cuales son: a) El Ético; b) El Técnico; y, c) El Legal. a) Problema ético del SPAM Es normal que una persona abra su cuenta de correo electrónico y encuentre su bandeja de entrada inundada con mensajes SPAM, más si se ha dejado de revisar la cuenta por un par de días, resulta una molestia y pérdida de tiempo el eliminar o clasificarlos como correo no deseado, y lo peor de todo es que en medio de la gran cantidad de correo basura posiblemente se encuentre un correo que realmente nos interese y no podamos localizarlo con la prontitud que necesitamos. Debemos hacer notar que en estos casos el destinatario no ha solicitado el envío de mensajes, y no le reporta ningún provecho la recepción de los mismos, y en casos extremos los mensajes pueden representar una amenaza a la integridad de sus sistemas informáticos debido al contenido de virus, troyanos, etc., lo que es totalmente injusto para el receptor del mensaje. En el caso del SPAMMER su motivación es de carácter económico, pues con esta práctica se genera ingresos, pero los medios para conseguir las direcciones de correo electrónico en ocasiones rosan la ilicitud, la compra de bases de datos privadas, el uso de programas informáticos que recorren internet en busca de direcciones de correo electrónico, la generación aleatoria de direcciones partiendo de un dominio en particular, etc. Spam, Scam y Phishing ¿Delitos informáticos típicos? 14 Derecho de Contratos I Por lo antes expuesto se puede concluir que el SPAMMING es antiético, por que invaden la intimidad del receptor y le pueden generar daño a sus intereses con dicha práctica, motivados únicamente por intereses económicos. b) Problema técnico del SPAM El problema técnico que genera el SPAM está en la saturación de transmisión de datos, ya que los servidores de correos tienen que estar procesando el envío y recepción de manera masiva de correos no deseados juntos con los que sí lo son, generando la relentización de los sistemas, pudiendo traducirse en pérdidas económicas. c) Problema legal del SPAM El SPAM no es considerado un delito en una gran parte de países del mundo, sin embargo los gobiernos han detectado el problema y en algunos se han generado proyecto de leyes que prohíben dicha práctica y hay algunos otros que ya tiene disposiciones legales especializadas que regulan y penan dicho hecho como delito. 5.1.4. Formas de SPAM21 Como ya mencionamos anteriormente, el medio más utilizado para el envío de SPAM es el correo electrónico sin embargo hay otras formas de enviar dichos mensajes, entre las cuales tenemos: - CORREO ELECTRÓNICO: Debido a la facilidad, rapidez y capacidad en las transmisiones de datos, la recepción de comunicaciones comerciales a través de este servicio de la sociedad de la información es la más usual, y el medio por el que los SPAMMERs envían más publicidad no deseada. - SPAM POR VENTANAS EMERGENTES (POP UPS): Se trata de enviar un mensaje no solicitado que emerge cuando nos conectamos a Internet. Aparece en forma de una ventana de diálogo y advertencia del sistema Windows titulado 21 Guía Para La Lucha Contra El SPAM, Agencia Española de Protección de Datos. Spam, Scam y Phishing ¿Delitos informáticos típicos? 15 Derecho de Contratos I "servicio de visualización de los mensajes". Su contenido es variable, pero generalmente se trata de un mensaje de carácter publicitario. Para ello se utiliza una funcionalidad del sistema de explotación Windows, disponible sobre las versiones Windows NT4, 2000, y XP y que permite a un administrador de redes enviar mensajes a otros puestos de la red. La solución más sencilla para evitar estas ventanas emergentes consiste en desactivar este servicio de Windows. Otro método consiste en utilizar un cortafuego destinado a filtrar los puertos TCP y UDP (135, 137,138, 139 y 445) de su ordenador, pero con esta medida es posible que deje de funcionar la red. - PHISHING: No es exactamente una modalidad de SPAM, el Phishing puede darse en la duplicación de una página web para hacer creer al visitante que se encuentra en la página original en lugar de la ilícita. Se suele utilizar con fines delictivos duplicando páginas web de bancos y enviando indiscriminadamente correos mediante SPAM para que se acceda a esta página con el fin de actualizar los datos de acceso al banco, como contraseñas, fechas de caducidad, etc. - HOAX: Es un mensaje de correo electrónico con contenido falso o engañoso y normalmente distribuido en cadena. Algunos hoax informan sobre virus, otros invocan a la solidaridad, o contienen fórmulas para ganar millones o crean cadenas de la suerte. Los objetivos que persigue quien inicia un hoax son normalmente captar direcciones de correo o saturar la red o los servidores de correo. - SCAM: Este no tiene carácter de comunicación comercial. Este tipo de comunicación no deseada implica un fraude por medios telemáticos, bien vía teléfono móvil o por correo electrónico. - SPAM EN EL MÓVIL: Además de las comunicaciones del operador de telefonía mediante mensajes de texto (SMS- Short Message Services), o mensajes multimedia (MMS-Multimedia Message Services), existen otro tipo de comunicaciones publicitarias en las que no media un consentimiento previo ni una relación contractual, por lo que son consideradas comunicaciones comerciales no solicitadas. Spam, Scam y Phishing ¿Delitos informáticos típicos? 16 Derecho de Contratos I Este tipo de comunicaciones generan un gasto de tiempo y de dinero. Además los mensajes pueden introducir virus y explotar de forma maliciosa alguna vulnerabilidad de los sistemas internos del teléfono. 5.1.5. Formas de prevenir el SPAM Entre las formas más recomendables de prevenir el SPAM hemos retomados las descritas en la Guía Para la Lucha Contra el SPAM, de la Agencia Española de Protección de Datos, las cuales son:  Ser cuidadoso al facilitar la dirección de correo, es necesario que esta información únicamente sea entregada a aquellas personas y organizaciones en las que confía y aquellas con las que quiera comunicarse.  Utilizar dos o más direcciones de correo electrónico, es aconsejable crear una dirección de correo electrónica que será la que se debe proporcionar en aquellos casos en los que no se confíe o conozca lo suficiente al destinatario, de este modo su dirección personal será conocida únicamente por sus amigos o por sus contactos profesionales, con el ahorro de tiempo que implica no tener que separar correos importantes de aquellos no deseados.  Elegir una dirección de correo poco identificable.  No publicar la dirección de correo  No se debería anunciar la dirección de correo en buscadores, directorios de contactos, foros o páginas web. En el caso de los chat, no se debe mostrar la dirección de correo electrónico en las listas de usuarios y no se debe comunicar a desconocidos.  Cuando se envíe correos en los que aparezcan muchas direcciones, enviarlas usando BCC o CCO (con copia oculta) para no hacer visibles todas las direcciones.  Si es necesario facilitar la dirección de correo electrónico en alguna web, envíela en formato imagen o escriba ‘at’ o ‘arroba’ en lugar de @. De este modo se puede evitar que lo capturen los programas creadores de SPAM. Asimismo, si reenvía un Spam, Scam y Phishing ¿Delitos informáticos típicos? 17 Derecho de Contratos I correo, elimine las direcciones de los anteriores destinatarios: son datos de fácil obtención por los SPAMMERS.  Leer detenidamente las Políticas de Privacidad y las Condiciones de Cancelación. Si se va a suscribir a un servicio on line, o a contratar un producto, revise la política de privacidad antes de dar su dirección de correo electrónico u otra información de carácter personal. Puede que esta compañía vaya a ceder los datos a otras o a sus filiales y observe que no le suscriben a boletines comerciales, por lo que es conveniente saber la política de alquiler, venta o intercambio de datos que han adoptado tanto su proveedor de acceso a Internet como los administradores de los directorios y listas de distribución donde esté incluido. Capture la pantalla y páginas en las que compra y conserve los datos identificadores. Además, lea los mensajes sospechosos como texto y no como html y desactive la previsualización de los correos. 5.1.6. El Spam en otros países PAÍS CHILE LEYES Ley de Protección de la Vida Privada y Protección de Datos de Carácter Personal (Ley 19.628). Ley del consumidor Nº 19.496 y su modificación Nº 19.955 del 2004, en su Artículo 28b, regula el envío de correos electrónicos TRATAMIENTO SANCIÓN Título I: De la utilización de datos personales art. 4 y siguientes. “La persona que autoriza debe ser debidamente informada respecto del propósito del almacenamiento de sus datos personales y su posible comunicación al público”. La ley obliga a quien envíe una comunicación promocional o publicitaria por correo electrónico, a indicar: 1. La materia de que se trata en el encabezado (asunto o subject). 2.Identificar quién envía el correo (remitente) 3. Indicar una dirección válida a la que se pueda solicitar la suspensión de los envíos. 50 UTM (unidad tributaria mensual) Spam, Scam y Phishing ¿Delitos informáticos típicos? 18 Derecho de Contratos I Proyecto de ley contra el uso abusivo de datos personales y resguardar de los usuarios ante el correo electrónico no solicitado PERÚ Ley que regula el envío de correo electrónico comercial no solicitado (spam)N° 28493 Reglamento de la ley nº 28493 que regula el envío de correo electrónico comercial no La individualización de quién envía el correo debe permitir saber qué proveedor está detrás, su nombre, domicilio, actividad, representantes, teléfonos y todo otro dato relevante. Los correos anónimos o con información incompleta infringen la Ley. Si una vez solicitada la suspensión de los mensajes, el envío persiste, el remitente podrá ser castigado con una multa. Artículo 5: Trata sobre lo que debe contener un correo electrónico comercial, promocional o publicitario no solicitado. Artículo 6: menciona que las características de un correo ilegal son: a) Cuando no cumpla con alguno de los requisitos establecidos en el artículo 5° de la presente ley. b) Contenga nombre falso o información falsa que se oriente a no identificar a la persona natural o jurídica que transmite el mensaje. c) Contenga información falsa o engañosa en el campo del “asunto” (o subject), que no coincida con el contenido del mensaje. d) Se envíe o transmita a un receptor que haya formulado el pedido para que no se envíe dicha publicidad, luego del plazo de dos (2) días. Art. 7 habla sobre los responsables del envío de correo spam. El receptor de correo electrónico ilegal podrá accionar por la vía del proceso sumarísimo contra la persona que lo haya enviado, a fin de obtener una compensación pecuniaria, la cual será equivalente al uno por ciento (1%) de la Unidad Impositiva Tributaria por cada uno de los mensajes de correo electrónico transmitidos en contravención de la presente ley, con un máximo de dos (2) Unidades Impositivas Tributarias. Art. 8 Ley anti spam peruana. Spam, Scam y Phishing ¿Delitos informáticos típicos? 19 Derecho de Contratos I ARGENTINA solicitado (spam) Ley de protección de los datos personales PROYECTO DE LEY SOBRE PROTECCION DE LAS DIRECCIONES ELECTRONICAS (S-3148/03) -Elaborado por la Senadora Mirian Belén Curletti: ARTÍCULO 3: La formación de archivos de datos será lícita cuando se encuentren debidamente inscriptos, observando en su operación los principios que establecen la presente ley y las reglamentaciones que se dicten en su consecuencia. ART. 5 El tratamiento de datos personales es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, el que deberá constar por escrito, o por otro medio que permita se le equipare, de acuerdo a las circunstancias. "Artículo 2° - Queda prohibido en el territorio nacional la distribución, comunicación publicitaria o comercial mediante el uso del correo electrónico u otro medio de comunicación electrónica equivalente utilizando vínculos ARTÍCULO 31. — (Sancione administrativas). 1. Sin perjuicio de las responsabilidades administrativas que correspondan en los casos de responsables o usuarios de bancos de datos públicos; de la responsabilidad por daños y perjuicios derivados de la inobservancia de la presente ley, y de las sanciones penales que correspondan, el organismo de control podrá aplicar las sanciones de apercibimiento, suspensión, multa de mil pesos ($ 1.000.-) a cien mil pesos ($ 100.000.-), clausura o cancelación del archivo, registro o banco de datos. 2. La reglamentación determinará las condiciones y procedimientos para la aplicación de las sanciones previstas, las que deberán graduarse en relación a la gravedad y extensión de la violación y de los perjuicios derivados de la infracción, garantizando el principio del debido proceso. ARTICULO 32: (Sanciones penales). Spam, Scam y Phishing ¿Delitos informáticos típicos? 20 Derecho de Contratos I EL SALVADOR ANTEPROYECTO DE LEY ESPECIAL CONTRA LOS DELITOS INFORMÁTICOS Y CONEXOS físicos como inalámbricos a destinatarios que previamente no hayan solicitado el envío de los mismos” Es de aclarar que el presente proyecto no aborda de manera puntual la figura del spam como tal, sin embargo se puede dilucidar e interpretar la voluntad del legislador, es por eso que se extraen los siguientes artículos relacionados: - - Interferencia de Datos. Art. 20 Interceptación de Trasmisiones entre Sistemas de las Tecnologías de la Información y la Comunicación. Art. 21.- - Divulgación No Autorizada. Art. 23.- - Utilización de Datos Personales. Art. 25.- - Obtención y Transferencia de Información de Carácter Confidencial. Art. 26.- - Revelación Indebida de Datos o Información de Carácter Personal. Art. 27.- Prisión de 3 a 6 años Prisión de 3 a 10 años Prisión de 5 a 8 años Prisión de 4 a 6 años Prisión de 5 a 8 años Prisión de 3 a 5 años A continuación una relación parcial de países con legislación que contiene provisiones contra la difusión de correo masivo no solicitado (spam): Spam, Scam y Phishing ¿Delitos informáticos típicos? 21 Derecho de Contratos I  Australia: spam act 2003 (Julio 2005).  Austria: federal act concerning the protection of personal data (Agosto 1999).  Bélgica: loi sur certains aspects juridiques des services de la société de l'information (marzo 2003 ) y loi relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel (diciembre 1992).  Canadá: personal information protection and electronic documents act (pipeda) (abril 2000).  Colombia: proyecto de ley nro. 142/04 por medio de la cual se regula el uso del correo electrónico comercial no solicitado (spam).  Dinamarca: the marketing practices act (Diciembre 2005).  Ecuador: ley de comercio electrónico, firmas electrónicas y mensajes de datos (abril 2002) y reglamento a la ley de comercio electrónico, firmas electrónicas y mensajes de datos (diciembre 2002).  España: ley de servicios de la sociedad de la información y de comercio electrónico (julio 2002).  Estados Unidos de América: can spam act (diciembre 2003).  Finlandia: act on data protection in electronic communications (2004).  Francia: loi du 21 juin 2004 pour la confiance dans l'économie numérique (art.22) (junio 2004).  Holanda: dutch telecommunications act (artículo . octubre 1998 ydutch data protection act (noviembre 1999).  Italia: data protection code (section 130) (junio 2003).  Malasia: communications and multimedia act 1998 (octubre 1998).  Noruega: personal data act (mayo 2004) y the marketing control act (section 2b) (mayo 2006).  Singapur: proposed legislative framework for the control of e-mail spam (mayo 2004) y proposed spam control bill (septiembre 2005).  Unión Europea: ley directiva sobre la privacidad y las comunicaciones electrónicas (julio 2002).  Venezuela: ley especial contra delitos informáticos (octubre 2001) y decreto con rango y fuerza de ley sobre mensajes de datos y firmas electrónicas (febrero 2001) Spam, Scam y Phishing ¿Delitos informáticos típicos? 22 Derecho de Contratos I 5.2. SCAM 5.2.1 Definición Es un término anglosajón que se emplea para referirse a un red de corrupción, actualmente se utiliza para definir los intentos de estafa a través de un correo electrónico fraudulento o páginas web fraudulentas. Generalmente se pretende estafar económicamente por medio del engaño presentando una supuesta donación a recibir o un premio de lotería al que se accede previo envío de dinero. 5.2.2 Generalidades El Scam deriva del Phishing, y consiste en enviar un correo electrónico denominado “Scam” a la víctima. Este no es más que el típico fraude en donde se busca que el receptor del correo realice algún acto para beneficiar a quien envía el mensaje y se busca explotar el ánimo de lucro de la víctima. Puede asimilarse y asociarse a la “estafa informática” del artículo 10 que regula el proyecto de Ley Especial contra los Delitos Informáticos y Conexos. Los sistemas técnicos han evolucionado y las nuevas tecnologías son un aspecto muy importante en este tipo de delitos, pero el factor humano, concretamente su vulnerabilidad, sigue siendo el eslabón fundamental del que se sirven los estafadores. Realmente aquí no se necesitan grandes alardes informáticos ni programas especiales, simplemente es una estafa o engaño adaptado a las nuevas tecnologías, y se hace con un correo electrónico. Los scammers, son los sujetos activos de este tipo de delitos y la diferencia con la estafa común reside en el hecho de que la transferencia de activos patrimoniales no es realizada por la víctima del engaño, sino por el propio autor o un tercero a través de un sistema informático. En los casos de Scam se produce una comunicación y el contacto se efectúa a través del sistema informático, hay una transferencia consentida aunque viciada por el engaño22. Este supuesto tiene todos los elementos de la estafa común aunque la comunicación se realice por medios informáticos23. 22 23 Cfr. J.G. FERNÁNDEZ TORUELO, Cibercrimen: los delitos cometidos a través de internet. 50. Código Penal Art. 215 Spam, Scam y Phishing ¿Delitos informáticos típicos? 23 Derecho de Contratos I 5.2.3 Funcionamiento del Scam El proceso es muy sencillo. El destinatario/víctima recibe un mensaje de un proveedor de servicios, (se puede aplicar a cualquier tipo de servicio al cual esté acostumbrado a pagar con tarjeta de crédito, por ejemplo), donde se le indica que existe un error en el registro de sus datos, y que para poderle facturar correctamente, y evitar ser dado de baja, debe actualizarlos a la brevedad. Por supuesto, por razones de seguridad, no se le pide que envíe ninguna información por correo, pero si se le incita a que se dirija a la página del proveedor de servicios, donde se recogen estos datos, y que siga desde allí el resto de las instrucciones. En el mensaje se muestra un link aparentemente legal a una página de facturación del propio proveedor del servicio (Phishing). Cuando la víctima pulsa en el link, en su navegador se abre una página, exactamente igual a las páginas oficiales de dicho proveedor. Allí, se le dan más detalles del presunto problema con sus datos; se le pide disculpas por las molestias causadas; se promete que la información que el cliente estará ingresando será encriptada y solo usada por la entidad; y luego se le advierte en una forma muy destacada que la dirección actual de su computadora ha sido registrada y guardada en un archivo de registro para protegerlo a usted de cualquier tipo de fraude. Después de ese proceso, que prepara el terreno para hacerle creer al usuario que todo es correcto y legal, se le pide ingresar datos como el número de tarjeta de crédito, seguro social, licencia de conducir, y otra información personal. Cuando termina de ingresar los datos, estos son enviados, pero no al proveedor verdadero, ya que las páginas son falsas. Consta de tres partes o escalafones -piramidal-. Es configurada bajo la apariencia de una cadena de valor que, sube o baja, en función de la necesidad del presunto estafador – sujeto activo. Spam, Scam y Phishing ¿Delitos informáticos típicos? 24 Derecho de Contratos I  Etapa Primera: Conseguir a los intermediarios mediante chats, foros y correos electrónicos. Los escalafones, la red de estafadores se nutre de usuarios de chats, foros o correos electrónicos, a través de mensajes de ofertas de empleo con una gran rentabilidad o disposición de dinero (HOAX) que son mensaje de correo electrónico con contenido falso o engañoso y normalmente distribuido en cadena. Algunos informan sobre virus desastrosos, otros apelan a la solidaridad con un niño enfermo o cualquier otra noble causa, otros contienen fórmulas para hacerse millonario24.  Etapa Segunda: Los intermediarios intentan conseguir el mayor número de estafados, a través de la técnica del Phishing. Una vez recabados por la red de intermediarios, se pasa al segundo de los escalafones, mediante la cual se remiten millones de correos electrónicos, bajo la apariencia de entidades bancarias u otro proveedor, solicitando las claves de la cuenta bancaria (Phishing).  Etapa Tercera: Traspasos en forma piramidal de las sumas de dinero. Los estafadores comienzan a retirar sumas importantes de dinero, las cuales son transmitidas a las cuentas de los intermediarios, quienes posteriormente deben dar traspaso a las cuentas de los estafadores, llevándose éstos las cantidades de dinero y aquellos -intermediarios- el porcentaje de la comisión. 5.2.4 Características del Scam Partiendo de la conceptualización de SCAM y de conocer como opera dicho delito, podemos mencionar las características siguientes:  Alterar el ingreso de datos de manera ilegal. Esto requiere que la persona que comete el delito posea un alto nivel de técnica; este tipo de casos suele darse en empleados de una empresa o financiera que conocen las redes de información de la 24 En: http://www.pandasecurity.com/spain/enterprise/security-info/types-malware/hoax/ Spam, Scam y Phishing ¿Delitos informáticos típicos? 25 Derecho de Contratos I misma y pueden ingresar a ella para alterar datos como generar información falsa que los beneficie, crear instrucciones y procesos no autorizados o dañar los sistemas.  Alterar, destruir, suprimir o robar datos, un evento que puede ser difícil detectar.  Alterar o borrar archivos.  Alterar o dar mal uso a sistemas o software, alterar o reescribir códigos con propósitos fraudulentos.  Utilización de sistemas de computadoras para robar bancos, realizar extorsiones o robar información clasificada. 5.2.5 Tipos de Scam Los Scam están diseñados para defraudar y con el tiempo van evolucionando haciéndose más sofisticados, a pesar de que estos cambian para parecer reales hay algunas señales que permanecen igual pero para conocerlas debemos tomar en cuenta lo descrito anteriormente respecto de cómo funcionan; a continuación se describen las formas de estafa o Scam existentes:  Empleo. Estas estafas de empleo generalmente comienzan con una oferta de trabajo, en la que ofertan trabajar desde la comodidad de sus hogares ganando miles de dólares al mes y no se necesita experiencia.  Lotería/Premio. Este es uno de los Scam más antiguos de los cuales podemos describir: 1. La victima recibe un correo electrónico de alguien que dice trabajar para una agencia de gobierno o de una institución “x” notificando que ha ganado un precio de “x” cantidad de dinero, induciendo a la víctima que debe previo a reclamar el dinero pagar impuesto, transfiriendo la victima el dinero y nunca retornando su premio.  Compra por Internet. En esta los delincuentes se aprovechan de las víctimas que pujan en una subasta de un sitio web induciendo el pago de los compradores bajo la figura de un nombre ficticio, cuando convencen al cliente-victima el producto nunca llega. Spam, Scam y Phishing ¿Delitos informáticos típicos? 26 Derecho de Contratos I 5.3. PHISHING 5.3.1 Historia Del Phishing La primera mención del término PHISHING data de enero de 1996 en grupo de noticias de hackers alt.2600, aunque el término apareció temporalmente en la edición impresa del boletín de noticias hacker “2600 Magazine“. El término PHISHING fue adoptado por crakers que intentaban “pescar” cuentas de miembros de AOL; ph es comúnmente utilizado por hackers para sustituir la f, como raíz de la antigua forma de hacking conocida como “phonephreaking”. Aquellos que posteriormente comenzaron a hacer PHISHING en AOL durante los años 1990, originalmente creaban cuentas falsas en AOL, utilizando algoritmos que generaban números de tarjetas de crédito, estas cuentas podían durar semanas e incluso meses antes de que una nueva fuera requerida. Eventualmente, AOL tomó medidas tardíamente en 1995 para prevenir esto, de modo que los crackers recurrieron al PHISHING para obtener cuentas legítimas en AOL. El phishing en AOL estaba estrechamente relacionado con la comunidad de warez que intercambiaba software pirateado. Un cracker se hacía pasar como un empleado de AOL y enviaba un mensaje instantáneo a una víctima potencial. Para poder engañar a la víctima de modo que diera información sensitiva, el mensaje podía contener textos como “verificando cuenta” o “confirmando información de factura”. Una vez el usuario enviaba su contraseña, el atacante podía tener acceso a la cuenta de la víctima y utilizarla para varios propósitos criminales, incluyendo el spam. Tanto el phishing como el warezing en AOL generalmente requerían programas escritos por crackers, como el AOLHell 25. Así fue como se inició la obtención fraudulenta de las claves: cuando es la propia víctima la que, sin saberlo, hace llegar al defraudador los datos necesarios para realizar las transacciones (Phishing) El llamado Phishing es una manifestación de la llamada ingeniería social –Consiste en la manipulación de las personas para que voluntariamente realicen actos que 25 Cfr. J.C. AGUILAR M. - J. ARBOLEDA JHON Y OTROS, Proyecto Phishing, 22 de junio 2015, en https://proyectophishing.wordpress.com/2006/08/10/phishing-%C2%BFque-es-su-historia-y-modo-de-operar/ Spam, Scam y Phishing ¿Delitos informáticos típicos? 27 Derecho de Contratos I normalmente no harían– que se genera por medio de envío de correos electrónicos que, aparentando provenir de sitios de conocimiento general seguros –generalmente las entidades financieras y bancos– utilizando y adoptando características que los distinguen como tales, como logos, imágenes y texto que consiguieron del sitio web de la entidad por la que se quieren hacer pasar, teniendo todo esto, suelen incluir un link o enlace que los lleva a otra ventana solicitando que se cambie la contraseña, siendo la victima quien proporciona la información a estas personas y esta es solo una de las formas por medio de las cuales estos delincuentes engañan a sus víctimas. En otras ocasiones, en el mismo correo tienen un formulario para actualizar datos, también lo hacen a través de encuestas falsas donde lo que buscan es la información necesaria para recuperar una cuenta de correo electrónico, por medio del cual tendrán oportunidad de entrar en otras cuentas de la víctima. 5.3.2. Phishing y Pharming Conociendo ahora su historia, es preciso definir como termino Phishing el cual es utilizado para referirse a uno de los métodos más utilizados por delincuentes cibernéticos para estafar y obtener información confidencial de forma fraudulenta como puede ser una contraseña o información detallada sobre tarjetas de crédito u otra información bancaria de la víctima26; “consiste en el empleo de mensajes, generalmente de correo electrónico que aparentemente provienen de fuentes fiables para llevar a cabo prácticas delictivas27, informando que sus documentos son inválidos o que el registro en alguna tienda virtual (que tal vez nunca hayas accedido) se encuentra desactualizado, al acceder al vínculo del email automáticamente lleva a una página para actualizar esos datos y es en ese momento, es cuando tus datos con robados en una página clonada”28. Uno de los métodos más graves de comisión de este tipo de delito es el llamado Spear Phishing que es una estafa más focalizada, siempre mediante correo electrónico, pero Cfr. M. RIVERO, “Que es el Phishing”, Artículos de InfoSpyware.com, Noviembre 2008 en: https://www.infospyware.com/articulos/que-es-el-phishing/ 27 Cfr. PANDA SECURITY, Información de Seguridad y Ciber-crimen, 22 de junio 2015, en: http://www.pandasecurity.com/elsalvador/homeusers/security-info/cybercrime/phishing 28 Cfr. REVISTA INFORMÁTICA HOY, Los Tipos de Spam, 22 de junio 2015, en: http://www.informaticahoy.com.ar/spam/Los-tipos-de-spam.php 26 Spam, Scam y Phishing ¿Delitos informáticos típicos? 28 Derecho de Contratos I el propósito es obtener acceso no autorizado a datos confidenciales. A diferencia de las estafas por phishing tradicional, que pueden lanzar ataques amplios y dispersos, el spear phishing se concentra en un grupo u organización específico. La intención es robar propiedad intelectual, datos financieros, secretos comerciales o militares y otros datos confidenciales; es el cometido contra grandes empresas y organizaciones29. Una variante del Phishing es el llamado Pharming, esta técnica consiste en modificar el sistema de resolución de nombres de dominio DNS (Domain Name Server)30 para conducir al usuario a una página web falsa31, es decir, que en este caso el engañado no es el usuario, sino el ordenador de PC, esta modalidad tiene la finalidad de llevar al usuario a una página falsa para robarle la información personal, utilizando técnicas muy diferentes para lograrlo, engaña el servidor DNS para que resuelva las direcciones URL correctas y bien formadas hacía números IP diferentes de los originales y consecuentemente lleve al usuario a destinos no deseado32; suplanta al Sistema de Resolución de Nombres de Dominio (DNS, Domain Name System) con el propósito de conducirte a una página Web falsa. El atacante logra hacer esto al alterar el proceso de traducción entre la URL de una página y su dirección IP33. Por ejemplo puede redirigirnos a la página falsa de nuestro banco, diseñada por los autores del ilícito de forma automática, es decir, que clonan la página de banco de manera que creamos estar en la correcta y al hacer uso del acceso de los servicios es cuando roban nuestra información y dinero; el hacker envenena un servidor DNS, de tal manera que los usuarios puedan visitar el sitio falso sin darse cuenta. Los sitios web falsos se pueden utilizar para instalar virus o troyanos en la computadora del usuario, o pueden ser 29 Cfr. KASPERSKY LAB, Definiciones de Seguridad e Internet, 22 de junio 2015, en: http://latam.kaspersky.com/mx/internet-security-center/definitions/spear-phishing 30 Es un sistema de nomenclatura jerárquica para computadoras, servicios o cualquier recurso conectado a Internet o a una red privada. Este sistema asocia información variada con nombres de dominios asignado a cada uno de los participantes. Su función más importante, es traducir (resolver) nombres inteligibles para las personas en identificadores binarios asociados con los equipos conectados a la red, esto con el propósito de poder localizar y direccionar estos equipos mundialmente 31 Cfr. PANDA SECURITY, Información de Seguridad y Ciber-crimen, 22 de junio 2015, en: http://www.pandasecurity.com/elsalvador/homeusers/security-info/cybercrime/phishing 32 Cfr. M. MAULINI R., ¿Qué es el Pharming? Tipos de Pharming y Alcances, 23 de junio 2015, en: http://www.e-securing.com/novedad.aspx?id=45 33 Cfr. Artículo de Seguridad de la Universidad Autónoma de México, 23 de junio 2015, en: http://www.seguridad.unam.mx/usuario-casero/eduteca/main.dsc?id=194 Spam, Scam y Phishing ¿Delitos informáticos típicos? 29 Derecho de Contratos I un intento de recopilar información personal y financiera para usarla en el robo de identidad34. En el caso de la Banca on-line (tanto si fue por Phishing o por pharming) los autores del delito o fraude, con la información en su poder suelen abrir de modo simultaneo una cuenta bancaria a la que remiten el dinero mediante transferencias “on-line”, estas cuentas se apertura en otros países donde de forma inmediata retiran el dinero, para ejecutar fraudes que implican una cantidad grande de dinero, fraccionan las transferencias a diferentes entidades bancarias; próximas geográficamente hablando, para que el cobro se pueda materializar en poco espacio de tiempo. Dentro de los partícipes de la comisión de estos ilícitos, es preciso mencionar que el autor con la intensión de esconder su participación a menudo hace uso de terceras personas, llamadas “Mulas o muleros” quienes reciben en sus cuentas personales el dinero provenientes del acto fraudulento, quienes luego de retener su comisión envían al autor mediante transferencia la diferencia como su ganancia. Existen varios cuestionamientos, si este tercero (la mula) es una víctima o un autor más del ilícito, ya que muchas veces desconocen el alcance de su actuación, pero en otras tienen pleno conocimiento; por lo que se plantean dos situaciones: a) la mula desconoce completamente el origen de los fondos y que su conducta es antijurídica, para lo cual se ha concluido que no existe una responsabilidad penal; sin embargo el segundo supuesto b) cuando sí tienen conocimiento o sospecha del origen de los fondos, y acepta su participación, en este caso la doctrina ha resuelto que pacíficamente comete el ilícito mediante la figura del dolo eventual35. Perfil de la víctima o Mula Generalmente, dentro de los engañosos avisos que circulan, el perfil buscado del mulero oscila entre los 21 y 50 años, el potencial empleado debe ser comunicativo, cumplidor, despierto, capacitado para ir aprendiendo en el proceso de trabajo y responsable. 34 Cfr. KASPERSKY LAB, Definiciones de Seguridad e Internet, 22 de junio 2015, en: http://latam.kaspersky.com/mx/internet-security-center/definitions/spear-phishing 35 Cfr. K.I. PEÑA MARTEL, Delitos informáticos: estafas, atentados contra la propiedad intelectual y delitos contra la intimidad, 23-25. Spam, Scam y Phishing ¿Delitos informáticos típicos? 30 Derecho de Contratos I No hace hincapié en el nivel educativo y prometen una paga, en el caso de Europa, de 1000 a 4000 euros mensuales. Una cifra atractiva para un trabajo de solamente dos horas diarias, fácilmente combinable con otras ocupaciones. En otros casos, el único requisito imprescindible, ser titular de una cuenta bancaria será suficiente para poder convertirse en intermediario de una persona de la cual no sabe su nombre y jamás le verá la cara36. Desde un punto de vista del Derecho Penal, debemos plantearnos si puede ser sancionada la conducta de quienes ponen sus cuentas al servicio de los defraudadores a cambio de dinero (“muleros” , la respuesta no es sencilla. Como mencionamos anteriormente en primer lugar, habrá que distinguir aquellas situaciones en las que los mismos desconocen totalmente que están colaborando con la realización de un acto delictivo de las que lo conocen o más frecuentemente, se lo imaginan (actuando por lo tanto con un dolo eventual): En el primer caso, pensemos que el autor del fraude suele contratar a los muleros mediante falsas ofertas de trabajo en las que los mismos deben realizar algún tipo de tarea, por lo que el porcentaje de la transferencia que se queda en su poder, representa el pago del trabajo realizado, pues bien en tal supuesto debe descartarse cualquier tipo de responsabilidad. En el segundo caso, se suscitan más dudas al respecto (conocimiento de la supuesta actuación delictiva) obviamente el mulero actúa con ánimo de lucro y, con conocimiento de la comisión de los delitos contra el patrimonio, ayuda a los responsables a aprovecharse de los efectos del mismo; sin embargo, en nuestro caso el delito no está consumado, sino que la recepción por parte del mulero es el último momento necesario para determinar la consumación (perjuicio o pérdida patrimonial derivado de la disposición patrimonial). En cuanto a una posible participación delictiva, el acto a valorar radicaría en la entrega de un numero de cuanta propio, sabiendo de forma cierta o admitiendo la posibilidad de que la misma sea utilizada para cometer el fraude. Esto implica una cooperación necesaria o una complicidad al haber removido obstáculos que hubieran impedido o dificultado la acción del autor del fraude37. Cfr. Despacho de abogados Portaley.com artículo sobre “las Mulas Informáticas” escrito el 18 junio 2008, en: http://www.delitosinformaticos.com/06/2008//fraudes/ofertas-de-empleo/muleros-las-victimas-delas-falsas-ofertas-de-trabajo 37 Cfr. J.G. FERNÁNDEZ TORUELO, Cibercrimen: los delitos cometidos a través de internet. 36 Spam, Scam y Phishing ¿Delitos informáticos típicos? 31 Derecho de Contratos I En definitiva el phishing como método fraudulento para obtener información confidencial de la identidad de la víctima, requiere mucha creatividad por parte del ciberdelincuente, lo que puede llevar a la comisión del delito de muy variadas formas, y por lo que cada caso desde el punto de vista jurídico, debe ser analizado de forma diferente e independiente al momento de la aplicación de la ley penal, pero al no estar tipificado en muchas legislaciones y las que lo regulan no lo hacen de manera homogénea, permite que existan zonas de impunidad, siendo generalmente cometidos en países que lo cuyo sistema judicial no se encuentra capacitado para su persecución, volviendo necesario para el caso de El Salvador una tipificación especial sobre los mismos. 6. SPAM, SCAM Y PHISHING ¿DELITOS INFORMÁTICOS TÍPICOS EN EL SALVADOR? 6.1. GENERALIDADES Como ya se dijo anteriormente, nuestro país carece de una normativa vigente que regule, prevenga y sancione la aparición de numerosos delitos impensados en otra época pero actualmente presentes en el mundo entero. Es de tener en cuenta que la comisión de un delito informático es sumamente sencilla, dependerá de la gravedad del daño que se persiga, de la necesidad o no de altos conocimientos informáticos por parte del autor, como puede ser la obtención de una contraseña, hasta el sabotaje de un sistema de seguridad nacional38. En ese orden de ideas es menester considerar, la facilidad con la que puede cometerse un delito informático, como también las diversas formas en que pueden realizarse, y que en algunos casos el infractor desconoce completamente que su conducta es antijurídica39. Considerando lo anterior, nos lleva a reflexionar sobre la dificultad que implica la aplicación de la ley penal, contra conductas que fácilmente pueden cometerse en diferentes Estados, con legislación independiente y algunas veces nula sobre la tipificación de estos 38 Cfr. A. DÍAZ GÓMEZ, El delito informático, su problemática, y la cooperación internacional como paradigma de su solución: el Convenio de Budapest. 174-175. 39 Op. Cit. Spam, Scam y Phishing ¿Delitos informáticos típicos? 32 Derecho de Contratos I delitos; en primer lugar es de plantearnos, el Órgano que va a conocer sobre el delito y en segundo lugar como hacer ejecutar sus sentencias en una jurisdicción diferente. Al respecto existe aún una laguna internacional con relación a la territorialidad del delito informático, en algunos casos se ha tomado en cuenta para la aplicación de la ley el lugar donde están almacenado los datos, que es generalmente el criterio que alegan las grandes empresas, u otro es el criterio de Tribunales como París y Australia que sostienen que la ley aplicable es donde se descargan los datos40. Por otro lado en España también existe una fuerte discusión sobre este punto, y es que se han aplicado distintos criterios que conllevan a una inseguridad jurídica, más aun en el tema de delitos informáticos ejecutado y cuya lesividad se ve concretada en varias provincias, como se pueden mencionar: Juzgado del domicilio del querellado, al lugar donde esté ubicada la sede de la empresa desde la que se ejecuta el delito, competencia del Juzgado del lugar de la ubicación del servidor, aquél en el que se hayan introducido en la Red de Internet los contenidos delictivos, competencia del lugar donde se hayan descubierto las pruebas materiales, donde se haya iniciado primero las actuaciones procesales, etc. Sin que a la fecha haya un criterio uniforme41. Principio de Territorialidad en la Legislación Salvadoreña. La legislación salvadoreña no está ajena a estos vacíos, el Código Penal en su Art. 12 regula el ámbito territorial de aplicación de la ley penal salvadoreña, desde la llamada “Teoría de la Conducta”, es decir que el hecho ilícito (acción u omisión se entiende cometido desde la expresión de la voluntad de cometerlo, independientemente del lugar donde acaezca el resultado, en el caso de los delitos a distancia, se entiende cometido cuando se realizó la acción, independientemente del resultado. En cuanto al lugar del hecho punible es necesario remitirnos a las teorías de la doctrina tradicional de la acción, del resultado y la ubicuidad, que atiende a una fórmula mixta que considera tanto la acción u omisión como el lugar donde ocurre el hecho, esta última es adoptada por nuestra 40 Como es el famoso caso en el que Joseph Gutnick de nacionalidad Australiana, decidió demandar a la Dow Jones & Co. Por difamación en los Tribunales Australianos, por la supuesta publicación de un artículo difamatorio publicado en una de las revistas de la famosa compañía en el que lo acusaban de actos fraudulentos y de lavado de dineros; en este caso el Tribunal Australiano sostuvo el criterio de ser competente ya que la revista era descargada en su territorio. Obtenido de Peguera Poch, Miquel y otros «Derecho y Nuevas Tecnologías», Barcelona, 2005, Pág. 486. 41 Cfr. J.G. FERNÁNDEZ TORUELO, Cibercrimen: los delitos cometidos a través de internet. Spam, Scam y Phishing ¿Delitos informáticos típicos? 33 Derecho de Contratos I legislación penal, sin embargo dada su concepción tradicional sigue representando problemas a la aplicación al caso de los delitos informáticos, considerando que dichos delitos no se encuentra tipificados en su totalidad42. Por ello y a fin de aclarar este punto, el artículo 2 del Anteproyecto de Ley Especial Contra los Delitos Informáticos y Conexos, más adelante desarrollada, establece que la misma será aplicable a los hechos punibles cometidos total o parcialmente en el territorio nacional o en los lugares sometidos a su jurisdicción. También se aplicará a cualquier persona, natural o jurídica, nacional o extranjera, por delitos que afecten bienes jurídicos del Estado, de sus habitantes o protegidos por Pactos o Tratados Internacionales ratificados por El Salvador. De igual forma, se aplicará si la ejecución del hecho, se inició en territorio extranjero y se consumó en territorio nacional o si se hubieren realizado, utilizando Tecnologías de la Información y la Comunicación instaladas en el territorio nacional y el responsable no ha sido juzgado por el mismo hecho por tribunales extranjeros o ha evadido el juzgamiento o la condena. Esto viene a aclarar un poco el punto de la territorialidad en cuanto a los delitos informáticos, pues el Código Penal será aplicado dependiendo el lugar donde ocurre el hecho. Para el caso de los delitos informáticos, con la entrada en vigencia de dicho proyecto de Ley, habrá un pequeño margen de acción, pues cabe la posibilidad de que sea aplicado y sancionado un delito que fue cometido de forma parcial en el extranjero, esto es así siguiendo la lógica de lo establecido en el Convenio de Budapest pues se busca por ello es importante que haya una armonización de las leyes relativas a delitos informáticos de los diferentes países, para que pueda haber colaboración y entendimiento respecto a cuál es la jurisdicción aplicable en un caso en concreto. Sin embargo, dicha ley viene a dar un poco más de apertura al principio de territorialidad establecido en la Ley penal. 6.2. DELITOS INFORMÁTICOS REGULADOS EN EL CÓDIGO PENAL Como en abundantes ocasiones hemos mencionado, algunos países han venido legislando sobre temas relativos a la comisión de delitos vinculados a la informática, ya sea 42 Cfr. K.I. PEÑA MARTEL, Delitos informáticos: estafas, atentados contra la propiedad intelectual y delitos contra la intimidad, 17. Spam, Scam y Phishing ¿Delitos informáticos típicos? 34 Derecho de Contratos I porque utilizan herramientas informáticas para realizarlos o porque el blanco de la infracción es de índole informático. Esta legislación se ha hecho, ya sea incorporando tipos penales relacionados con la informática directamente a sus códigos penales vigentes, como es el caso de España, México y Costa Rica; o creando leyes especiales que regulen y sancionen conductas realizadas mediante las TIC´s, como es el caso de Colombia. En El Salvador no existe una ley especial vigente que regule lo concerniente a este tipo de ilícitos, ni siquiera en la reforma hecha al Código Penal se incluyó un capítulo relacionado a los delitos informáticos, haciendo énfasis en el Phishing y el Spam (de los cuales se derivan hurto, robo, fraude, falsificación, perjuicio, estafa, y sabotaje), siendo los delitos más comunes; ya que de hecho se cometen delitos cuyo medio principal es la informática, siendo el medio idóneo para el cometimiento de los mismos, dado el inmenso caudal de información que acumula y el fácil acceso que se tiene a ella, aun así no ha sido posible proceder a las reformas de actualización para ser frente a esta situación. Sin embargo, existen artículos del actual código penal que contienen elementos de tipificación de delitos informáticos, como por ejemplo43: - Las amenazas, que pueden llegar a atentar contra la seguridad de una persona y su familia y que, hoy en día, puede llegar a realizarse a través de medios electrónicos. - Promoción de pornografía infantil, pudiendo realizarse exhibiciones obscenas a través de internet. - Inducción, promoción, favorecimiento y determinación de la prostitución a través de internet y correo electrónico. - Entre otros. Ahora, con respecto a las figuras objeto de estudio, no hay tampoco un tipo penal específico que las regule, sin embargo, pudiera llegar a aplicarse la figura del scam o Phishing cuando concurran las siguientes acciones: Cfr. E.W. MARTÍNEZ SANTOS – J.J. MATA ALDANA, Los delitos informáticos en El Salvador relativos a la intimidad, 7-11. 43 Spam, Scam y Phishing ¿Delitos informáticos típicos? 35 Derecho de Contratos I - Obtención de claves de acceso y/o información electrónica. Por ejemplo, el uso de programas para monitorear el uso de computadoras a través de los cuales se pueden obtener las claves y/o información. Aquí estaríamos aplicando el art. 184 referente a la violación de comunicaciones privadas, que da una sanción con multa de 50 a 100 días multa. Esta conducta adquiere un agravante cuando es realizada por las personas encargadas o responsables de los ficheros o soportes técnicos, que además de la multa se impone una sanción de inhabilitación del respectivo cargo o empleo público de 6 meses a 2 años; sin embargo, nótese que más que un delito, es una falta. El único tipo penal que consideramos que el scam y Phishing pueden llegar a ser enmarcadas como delitos, es dentro del tipo de estafa agravada, pues las dos figuras están clasificadas según el Convenio de Budapest, dentro del “fraude electrónico o informático”. Sin embargo, como vimos anteriormente, únicamente se ve como un agravante, y así dispone el art. 216. El delito de estafa será sancionado con prisión de cinco a ocho años, en los casos siguientes: 5) Cuando se realizare manipulación que interfiera el resultado de un procesamiento o transmisión informática de datos. Como se puede notar, en El Salvador, al no existir un cuerpo normativo específico de los Delitos Informáticos, se tiene que recurrir a la analogía y tomando en cuenta que el internet evoluciona día a día, el derecho debe de ser esa herramienta para brindar seguridad a los ciudadanos, por lo cual se hace necesaria una regulación especial que permita la persecución y sanción de estos nuevos tipos de delitos, a fin de garantizar que no se cometan abusos contra los bienes jurídicos de las personas. Es preciso apuntar que como hemos ya establecido, que el uso de redes informáticas cada vez ha ido avanzando y se ha llegado a convertir en una de las fuentes principales para la generación de información y resguardo de la misma, por ello, no es de dejar de lado el Spam, Scam y Phishing ¿Delitos informáticos típicos? 36 Derecho de Contratos I afán que ha tenido nuestro legislador por tratar de regular, aunque de una forma muy somera, la utilización de esta herramienta. Tal es el caso del siguiente cuerpo normativo:  Ley de Telecomunicaciones ART. 6 ABREVIATURAS Y DEFICINICIONES. SERVICIOS DE INFORMACIÓN: Significa ofrecer una capacidad para generar, adquirir, almacenar, transformar, procesar, recuperar, utilizar o hacer disponible la información a través de las telecomunicaciones, e incluye la publicidad electrónica, sin incluir el uso de cualquiera de estas capacidades para la administración, control u operación de un sistema de telecomunicaciones o la administración de un servicio de telecomunicaciones. Art. 29. Son derechos de los usuarios: b) Al secreto de sus comunicaciones y a la confidencialidad de sus datos personales no públicos, teniendo en cuenta lo mencionado en el Título V-Bis, Capítulo Único de la presente ley. OBLIGACIONES DEL OPERADOR Art. 30-A. Es obligación de los operadores de servicios de acceso, llevar un registro de todos los usuarios incluyendo los de pago previo, debiendo mantener dicha información a disposición de la autoridad competente en la investigación de delitos que la requiera. La entrega de la información requerida por la Fiscalía General de la República, relativa a los datos de registro de la línea o líneas telefónicas investigadas, los registros de llamadas efectuadas durante un período claramente determinado, así como los datos sobre el origen de cualquier otro tipo de comunicación electrónica, y la suspensión temporal de las líneas, el bloqueo de aparatos telefónicos y de las demás comunicaciones electrónicas se efectuarán de conformidad a lo previsto en el Art. 238 del Código Procesal Penal. Spam, Scam y Phishing ¿Delitos informáticos típicos? 37 Derecho de Contratos I COTEJO DE DOCUMENTOS. Art. 238.- Cuando se trate de examinar o cotejar escritos, el juez o tribunal ordenará la presentación de escritura de comparación, pudiendo usarse documentos públicos, auténticos o privados, si no existen dudas sobre su autenticidad. Para la obtención de ellos podrá disponer el juez o el tribunal el secuestro, salvo que se trate de documentos excluidos. También dispondrá que alguna persona escriba de su puño y letra un cuerpo de escritura, siempre con su consentimiento. FRAUDE DE COMUNICACIONES. Art. 238-A.- El que interfiere, alterare, modificare o interviniere cualquier elemento del sistema de una compañía que provee servicios de comunicaciones con el fin de obtener una ventaja o beneficio ilegal, será sancionado con prisión de tres a seis años. 6.3. LEY ESPECIAL CONTRA LOS DELITOS INFOMÁTICOS Y CONEXOS Como una respuesta a la masificación del uso del internet y de las posibilidades de delinquir que se habilitan al no contar con una normativa que regule la forma en que los usuarios hacen uso de esta herramienta tecnológica, hoy en día tan relevante, en el año dos mil catorce, la Comisión de Seguridad Pública y Combate a la Narcoactividad, inició el estudio del Anteproyecto de Ley Especial de Protección contra los Delitos Informáticos y Conexos, el cual fue presentado por el consultor internacional Doctor Emilio Viano. Esta ley, es una muestra de la necesidad que existe de que en cada país se establezcan qué acciones serán tipificadas como delitos. Por ello, una de las principales recomendaciones del consultor encargado de dicha ley, es que en el país además de tener su propia normativa, se deben suscribir tratados internacionales en relación al tema, sobre todo porque no son delitos que puedan controlarse en una sola nación, razón por la cual es casi Spam, Scam y Phishing ¿Delitos informáticos típicos? 38 Derecho de Contratos I imposible que estos delitos puedan contrarrestarse sin la asistencia y cooperación internacional44. El propósito de la normativa, es proteger los bienes jurídicos de aquellas conductas delictivas cometidas por medio de las Tecnologías de la Información y Comunicación (TIC). Define como delitos Informáticos: el hurto de identidad, la divulgación no autorizada, difusión de información perjudicial, utilización de datos personales, obtención y transferencia de información de carácter confidencial, así como el acoso a través de tecnologías de la información y la comunicación. La propuesta contempla sanciones para las conductas o infracciones realizadas en perjuicio de datos almacenados o transferidos en los sistemas, de igual manera los cometidos mediante el uso de dichas tecnologías que afecten intereses asociados a la identidad, propiedad, intimidad e imagen de las personas naturales o jurídicas. Asimismo castiga los delitos informáticos contra niñas, niños y adolescentes o personas con discapacidad45. 6.3.1. Objeto y fin de la Ley Según la exposición de motivos de dicho anteproyecto de ley, por ser la persona el objeto y fin del Estado, es necesaria una protección de la información que se recibe y resguarda en los sistemas informáticos, ya que al no hacerlo se atenta contra la integridad, confidencialidad y disponibilidad de los datos en general, por lo que es sumamente necesaria una tipificación y adopción de mecanismos idóneos y suficientes para facilitar la detención, investigación y sanción de esta nueva clase de delitos y proteger de esa forma los bienes jurídicos que resulten afectados por conductas delictivas cometidas por medio de las TIC´s, pero no solo es importante la sanción, sino también la prevención temprana de estos delitos. Noticias de la Asamblea Legislativa: “Inician estudio de anteproyecto de Ley Especial de Protección contra los Delitos Informáticos”, en: http://www.asamblea.gob.sv/noticias/legislatura-20122015/noticias/inician-estudio-de-anteproyecto-de-ley-especial-de-proteccion-contra-los-delitos-informaticos 45 Noticias de la Asamblea Legislativa: “Legisladores conocen propuesta de Ley Especial Contra Delitos Informáticos y Conexos”, en: http://www.asamblea.gob.sv/noticias/legislatura-20122015/noticias/legisladores-conocen-propuesta-de-ley-especial-contra-delitos-informaticos-y-conexos 44 Spam, Scam y Phishing ¿Delitos informáticos típicos? 39 Derecho de Contratos I El artículo 1 de dicho anteproyecto, establece el objeto de la misma, el cual reza de la siguiente manera: “La presente Ley tiene por objeto proteger los bienes jurídicos de aquellas conductas delictivas cometidas por medio de las Tecnologías de la Información y la Comunicación, así como la prevención y sanción de los delitos cometidos en perjuicio de los datos almacenados o transferidos; los sistemas, su infraestructura o cualquiera de sus componentes, o los cometidos mediante el uso de dichas tecnologías que afecten intereses asociados a la identidad, propiedad, intimidad e imagen de las personas naturales o jurídicas en los términos previstos en esta Ley” De ello podemos vislumbrar que son tres los grandes ejes de la Ley especial en estudio: - La protección de bienes jurídicos susceptibles de afectación - Prevención de los delitos cometidos por medio de las TIC´s - Sanción de dichos delitos. Ahora bien, está ley tiene como sujetos pasivos no solo a las personas naturales o jurídicas, sino también hace mención que protege a los datos almacenados o transferidos por medio de las TIC´s, los sistemas, infraestructura y cualquier otro componente. Si vemos, el bien jurídico protegido que resalta es de la información, como muy acertadamente se puntualizó en el tercer apartado de este trabajo, lo que colegimos de lo establecido en el art. 3 literal b de dicha ley, el cual reza: “para los efectos de la presente ley, se entenderá por: b) Bien Jurídico Protegido: es la información que garantice y proteja el ejercicio de derechos fundamentales como la intimidad, honor, integridad sexual, propiedad, propiedad intelectual, seguridad pública, entre otros”. Es decir, que protegiendo a la información del uso inapropiado de las TIC´s, se podrá garantizar que los derechos fundamentales mencionados en dicho articulado, no se vean afectados ni vulnerados. 6.3.2. Regulación del Spam, Scam y Phishing Antes de ahondar en la regulación de estas figuras es preciso analizar la definición que hace el Anteproyecto del “delito informático” dentro de las definiciones contempladas en el Art. 3 lit. a) nos dice: “delito Informático: se considerará la comisión de este delito, Spam, Scam y Phishing ¿Delitos informáticos típicos? 40 Derecho de Contratos I cuando se haga uso de las Tecnologías de la Información y la Comunicación, teniendo por objeto la realización de la conducta típica y antijurídica para la obtención, manipulación o perjuicio de la información” Es importante aclarar que la definición dada por el anteproyecto, en esencia establece que la conducta típica o reprochable del delito informático, es la utilización de Tecnologías de información para la obtención, manipulación o perjuicio de la información; se entiende entonces que estamos ante un delito de resultado, que se consuma con el cumplimiento de esos fines. Ahora bien, como se abordó anteriormente, tanto el Spam, Scam y Phishing son figuras informáticas cuyo objetivo principal es el de hacer caer en un error al usuario (victima), es decir, es una práctica fraudulenta para la obtención de información generalmente personal y en la mayoría de casos con un perjuicio patrimonial. El Anteproyecto no tipifica estas figuras como tal, al menos no individualmente, sino más bien siguiendo la teoría finalista del derecho penal salvadoreño, lo hacer de manera general sobre la conducta perseguida por el autor del delito, y es así que tipifica los delitos la Estafa informática (Art. 10) y el Fraude Informático (Art. 11): Estafa informática Art. 10.- “La persona natural o jurídica que manipule o influya en el ingreso, el procesamiento o resultado de los datos de un sistema que utilice Tecnologías de la Información y la Comunicación, ya sea mediante el uso de datos falsos o incompletos, el uso indebido de datos o programación, valiéndose de alguna operación informática o artificio tecnológico; o por cualquier otra acción que incida en el procesamiento de los datos del sistema o que dé como resultado información falsa, incompleta o fraudulenta, con la cual procure u obtenga un beneficio patrimonial indebido para sí o para otro, será sancionado con prisión de tres a cinco años” Fraude informático Art. 11.- “El que por medio del uso indebido de las Tecnologías de la Información y la Comunicación, valiéndose de cualquier manipulación en sistemas informáticos o cualquiera de sus componentes; o en la de datos informáticos o información en ellos contenida, consiga insertar instrucciones falsas o fraudulentas que produzcan un resultado que permita obtener un provecho en perjuicio ajeno, será sancionado con prisión de tres a seis años” Spam, Scam y Phishing ¿Delitos informáticos típicos? 41 Derecho de Contratos I Hemos de notar que una de las novedades de estos tipos penales, es que reconocen la responsabilidad penal de las personas jurídicas en este tipo de delitos, cuya realización es muy compleja y que usualmente requieren la participación de varios individuos. En lo referente a las figuras informáticas aquí tratadas, si bien no las reconoce como un delito propiamente, son los medio generalmente utilizados para la realización de los tipos penales regulados; a diferencia del Spam, que no siempre implicará un perjuicio para la Victima, este puede ser utilizado de manera integral para la consumación del Phishing como también lo puede hacer el Scam; y es que por lo general, el ciberdelincuente opera de esta manera, haciéndose valer del envío masivo de correos electrónicos basura o no deseados para atraer al usuario a una página fraudulenta, y es desde este punto de vista que puede entenderse que el legislador pretenda tipificar de manera general la conducta delictiva, y en especial el Fraude Informático, cuya configuración reúne el uso indebido o doloso de medios informáticos que han venido apareciendo con el uso de las Tecnologías de la Información pudiéndose utilizar para ellos el Spam, Scam y obviamente Phishing. 6.3.3. ¿Es necesaria una regulación especial? Una vez que hemos examinado tanto la realidad y la importancia del proceso de “informatización” en la sociedad como los peligros que del mismo derivan, es necesario afrontar el estudio de las medidas jurídicas que la sociedad, a través del Estado, puede y debe utilizar para intentar que los citados delitos informáticos –spam, phishing, scam- no implique una merma de los derechos y libertades de los ciudadanos o una “reestructuración regresiva” del sistema político al que sirven de fundamento. El ordenamiento jurídico, ante la aparición de un fenómeno nuevo puede optar entre una de estas dos posturas: o bien regular jurídicamente antes de que los peligros que de tal fenómeno se derivan se materialicen, con el consiguiente riesgo de que dicha regulación peque de insuficiente, precipitado o excesivo; o bien esperar a que se produzca un desarrollo del fenómeno en el tiempo, para que de esta forma se regulen mejor los delitos informáticos, exista una legislación más completa y por ende una respuesta jurídica pronta Spam, Scam y Phishing ¿Delitos informáticos típicos? 42 Derecho de Contratos I a los problemas y evitar así cualquier innecesaria y precipitada intervención legislativa que pudiera entorpecer el desarrollo social. Consideramos que en lo referente al tema que nos ocupa es imperante desarrollar la primera de las opciones, es decir adelantarnos o intentar regular antes del desarrollo de algunos delitos y evitar consigo una situación descontrolada y un medio viable para la comisión de otros delitos, es por ello que aunque una legislación resulte muy escueta para la gama y complejidad de delitos que puedan ocasionarse en la red, es imperante regular los mismos antes de que se vuelva inoperante o que surtan consecuencias irreversibles como es el caso de la regulación con el medio ambiente y la evolución industrial para efectos de comparación. Por ello, es imprescindible que lo antes posible exista una regulación del tema y que se desarrollen leyes especiales que se muevan dentro de unos límites claros y al avanzar el desarrollo de los software atienda no sólo a la obtención de los mayores beneficios posibles, sino que desde ya sea consciente de las limitaciones legales existentes. Consideramos que nuestro actual normativa es demasiado caucásica e ineficiente ya que como expusimos nuestro código penal ni siquiera tipifica las figuras objeto de nuestra investigación -–spam, phishing, scam- y no existe una ley especial que trate sobre delitos informáticos, su tratamiento, sanciones administrativas y penales, formas de ejecutar sanciones, competencias de tribunales, en este sentido quedamos en suma desventaja a nivel internacional sin garantías para el consumidor y en contra de derechos y principios constitucionales reconocidos en nuestra carta magna. Es necesario, pues, articular toda una serie de medidas jurídicas que vuelvan a colocar al ciudadano en el papel activo que le corresponde en el Estado de Derecho, medidas que han de dirigirse específicamente a esa nueva realidad que abarca todos los sectores de la estructura social –estatal, privado, banca-para que los individuos no se vean convertidos en meros objetos de información, sino que sean sujetos que intervienen en los procesos que les afectan. Spam, Scam y Phishing ¿Delitos informáticos típicos? 43 Derecho de Contratos I Asimismo es necesario evolucionar con la normativa global existente esto no implica “uniformarnos” pero si crear nuestra propia normativa acorde a nuestra realidad. No tener estos avances legales implica quedarnos en desuso y representa un retraso en nuevas formas de explotación de recursos de nuestro país ya que por ejemplo la atracción de futuros inversionistas es un nicho importante para abarcar, pero para ello debe existir un marco legal eficiente, desarrollado y equitativo. Por ello consideramos, que esta regulación ha de tener en cuenta necesariamente las peculiaridades de los distintos sectores para, de esta forma, hacer frente a los específicos problemas que de cada uno de ellos se derivan. Nuestra legislación y nuestro código penal no conlleva dicha protección, no existe otra ley tan novedosa que en nuestro país conlleve la identificación y la penalización, no existen leyes que protejan al consumidor tan garantistas que resarzan los daños y muchos menos leyes sumamente especiales que se dediquen a la especificación de estas tres figuras objetos de nuestro estudio, que como ya vimos en muchos países se posee una ley anti-spam por ejemplo. El anteproyecto si bien representa una evolución en nuestra normativa desarrolla de manera escueta la tipificación de cada delito, en qué manera se perfecciona la ilegalidad, su tratamiento o la forma de ejecutar las penas, o si existe por ejemplo una sanción administrativa, las competencias en cuanto a los procesos y los tribunales que conocerán de dichos delitos ya que esto podría originar muchos criterios de interpretación dando lugar a la impunidad u obligaría a los tribunales a aplicar preceptos que no se ajusten a la naturaleza de los hechos cometidos, sin embargo reconocemos que es un gran avance y que la misma debe ser sancionada. A nuestro parecer el uso de leyes especiales garantistas, que vean las sanciones desde la óptica de los derechos y bienes en juego así como por el carácter grave de estas formas de ataque a dichos bienes, son necesarias, ya que estos delitos colocan al individuo en una situación de absoluta indefensión, pues la mayoría de las veces no llegará ni tan siquiera a conocer que ha sido lesionado en sus derechos, sin saber en la mayoría de los casos quien ocasiono los daños. Spam, Scam y Phishing ¿Delitos informáticos típicos? 44 Derecho de Contratos I CONCLUSIÓN Después del breve estudio sobre delitos informáticos y en especial de las figuras conocidas como “Spam, Scam y Phishing” y al ver los esfuerzos de la comunidad internacional para enfrentar el delito informático y la forma en que está siendo tratada esta problemática en El Salvador es necesario hacer las siguientes consideraciones:  En El Salvador no existe una ley general ni especial que determine específicamente tipos penales que definan los delitos que se presentan con mayor frecuencia en las redes lo que es necesario para sancionar correctamente estas modalidades delictivas que afectan a una sociedad completa, si bien no es un problema de gran envergadura en la actualidad a diferencia de otros países, es necesario para la evolución de nuestro sistema legal contar con mecanismos que garanticen derechos y garantías constitucionales en donde al existir vulneración el sujeto pasivo pueda acudir a su denuncia y el sujeto activo pueda ser perseguido y sancionado.  En nuestro país se deben diseñar políticas criminales encaminadas a prevenir la realización de estos delitos, políticas que tengan como base la enseñanza a la comunidad del correcto uso y manejo de las redes sociales y programas de software, para de esta forma minimizar los riesgos existentes en ellas.  Los delitos informáticos son conductas que día a día se presentan en mayor cantidad en las redes sociales afectando gravemente derechos constitucionales prácticamente de todos los miembros de la sociedad.  La seguridad en las redes sociales y el suministro de información personal debe hacerse con todas las precauciones necesarias, y para que los usuarios de las redes tengan esta conciencia, los mecanismos y organismos del estado deben ayudar a crear una nueva cultura que conlleve a las personas a protegerse en este espacio digital que puede afectar fácilmente la vida e integridad de cada ciudadano.  Las nuevas tecnologías de información y comunicación como las redes sociales además de ser el medio donde se presentan delitos como phishing, perfiles falsos, pornografía infantil, y toda clase de daños, fraudes y robos informáticos, spam, etc. también es el medio que están utilizando delincuentes comunes para llegar a la Spam, Scam y Phishing ¿Delitos informáticos típicos? 45 Derecho de Contratos I realización de delitos clásicos que se comenten personalmente como; secuestros, amenazas, estafas, acosos, hurtos, entre otros, aquí la necesidad de regulación.  El constante avance tecnológico y el avance de los delitos a la par de las nuevas formas de comunicación en el mundo no deben estar separadas de las correspondientes reformas y creaciones legales, nuevas normas que abarquen y contemplen las posibles vulneraciones a los derechos constitucionales para que las personas puedan tener opciones y medios dónde acudir para denunciar y protegerse frente a cualquier delito en las redes sociales. Si bien el anteproyecto de ley presenta una propuesta significativa en nuestro retrasado ordenamiento y presenta en su articulado una tipificación estructurada y sanciones, deja muchas inconsistencias por lo que creemos es necesario el uso de leyes especiales que desarrollen los tipos penales de manera profunda evitando que la ausencia de figuras concretas que se puedan aplicar en esa materia dieran lugar a que los autores de esos hechos quedaran impunes ante la ley, o bien, obligaría a los tribunales a aplicar preceptos que no se ajusten a la naturaleza de los hechos cometidos. Asimismo es necesario que se establezcan los criterios necesarios para delimitar los delitos, dada la naturaleza de los mismos, es decir la jurisdicción y la manera de ejecutar las sanciones administrativas y penales de estos ilícitos. Spam, Scam y Phishing ¿Delitos informáticos típicos? 46 Derecho de Contratos I BIBLIOGRAFÍA 1. TEXTOS LEGALES NACIONALES ASAMBLEA LEGISLATIVA DE EL SALVADOR, Decreto Legislativo N° 1030, Código Penal, 26 de abril de 1997, D.O. 105 Tomo 335, (2007) ________, Decreto Legislativo N° 142, Ley de Telecomunicaciones, 21 de noviembre de 1997, D.O 218 Tomo 337 (2007) ________, Anteproyecto de Ley de Especial contra los Delitos Informáticos y Conexos. 2. AUTORES DÍAZ GÓMEZ, A., El delito informático, su problemática y la cooperación internacional como paradigma de solución: El Convenio de Budapest, REDUR 2010. FERNÁNDEZ TERUELO, J. G., Cibercrimen: Los delitos cometidos a través de internet, Barcelona 2007. HUERTA MIRANDA, M. – LÍBANO MANZUR, C., Los delitos informáticos, Chile, 1998. SIEBER, U., Criminalidad Informática: peligro y prevención, Barcelona, 1992. TELLEZ VALDÉS, J., Los delitos informáticos. Situación en México, Mérida 1996. 3. DOCUMENTOS EN LÍNEA AGUILAR M, J. C., - ARBOLEDA JHON, J., Y CASTAÑEDA, D., Proyecto Phishing, junio 2015, en: https://proyectophishing.wordpress.com/2006/08/10/phishing-%C2%BFque-essu-historia-y-modo-de-operar KASPERSKY LAB, Definiciones de seguridad e internet, junio 2015, en http://latam.kaspersky.com/mx/internet-security-center/definitions/spear-phishing MARTÍNEZ SANTOS, E.W. – MATA ALDANA, J.J., Los delitos informáticos en El Salvador relativos a la intimidad, San Miguel, en: www.alfonsozambrano.com/memorias/estudiantes/.../Ponencia3.doc PANDA SECURITY, Información de seguridad y ciber-crimen, junio 2015, en http://www.pandasecurity.com/elsalvador/homeusers/securityinfo/cybercrime/phishing RIVERO, M., Que es el Phishing, artículos de InfoSpyware.com, noviembre 2008 en: https://www.infospyware.com/articulos/que-es-el-phishing/ 4. TESIS GONZÁLEZ FLORES, C.M., El cibercrimen de estafa en la empresa salvadoreña, Antiguo Cuscatlán, 2012. Spam, Scam y Phishing ¿Delitos informáticos típicos? 47 Derecho de Contratos I PEÑA MARTEL, K.I., Delitos informáticos: estafas, atentados contra la propiedad intelectual y delitos contra la intimidad, Antiguo Cuscatlán, 2010. 5. PÁGINAS WEB CONSULTADAS http://mx.norton.com/security_response/SPAM.jsp http://www.youtube.com/watch?v=anwy2MPT5RE http://www.facua.org/es/guia.php?Id=141&capitulo=1252 http://www.pandasecurity.com/spain/enterprise/security-info/types-malware/hoax/ Noticias de la Asamblea Legislativa: “Inician estudio de anteproyecto de Ley Especial de Protección contra los Delitos Informáticos”, en: http://www.asamblea.gob.sv/noticias/legislatura-2012-2015/noticias/inician-estudiode-anteproyecto-de-ley-especial-de-proteccion-contra-los-delitos-informaticos Noticias de la Asamblea Legislativa: “Legisladores conocen propuesta de Ley Especial Contra Delitos Informáticos y Conexos”, en: http://www.asamblea.gob.sv/noticias/legislatura-2012-2015/noticias/legisladoresconocen-propuesta-de-ley-especial-contra-delitos-informaticos-y-conexos