Regulación de los Delitos Informáticos en Uruguay
Actualmente, Uruguay no cuenta con una legislación específica que aborde los delitos informáticos o delitos digitales de manera integral.
No obstante, esto no significa que no existan en nuestro marco normativo algunas conductas consideradas como delitos informáticos, como los ejemplos que veremos a continuación:
- La Ley 17.616, que modifica la Ley de Derechos de Autor de 1937, incluye expresamente a los programas de ordenador y las bases de datos como bienes protegidos, y el artículo 46 de dicha ley establece penalidades para las conductas que contravengan la protección de los derechos de autor, cuando sean realizadas «por cualquier medio».
- La Ley 17.815 de Violencia Sexual contra Niños, Adolescentes o Incapaces tipifica como delito la fabricación, producción, comercio, difusión y facilitación, en cualquier medio, de material pornográfico que involucre a menores de edad o incapaces.
- La Ley 18.383 del 2008 modificó el artículo 217 del Código Penal para tipificar como delito el Atentado contra la regularidad de las telecomunicaciones alámbricas o inalámbricas, estableciendo penas de tres meses de prisión a tres años de penitenciaría.
- El artículo 4 de la Ley 18.600 de Documento y Firma Electrónica establece que aquel que voluntariamente transmita un texto que resulte en un documento infiel, adultere o destruya un documento electrónico, incurra en los delitos previstos por los artículos 236 a 245 del Código Penal, según corresponda. Aquí vemos que el legislador, equiparó el documento electrónico al papel, y de esta manera se hacen aplicables a los nuevos medios el capítulo de nuestro Código Penal de Falsificación Documentaria.
Marco Internacional de los Delitos Informáticos:
Para entender en donde nos encontramos parados en Uruguay, cuáles son las herramientas que hoy por hoy tenemos para defendernos ante cualquiera de los ciberdelitos, cuando aún hoy no existe una normativa específica y especializada en la materia, es necesario que realicemos una introducción previa sobre el marco internacional y como se vincula esto con los Derechos Humanos que también son aplicables y rigen para nuestro país, el cual ratificó numerosos convenios en la materia.
En el contexto actual de las Tecnologías de la Información y Comunicación (TIC) y especialmente de Internet, los Derechos a la Libertad de Expresión y Privacidad adquieren una especial relevancia.
La Declaración Universal de Derechos Humanos reconoce en su artículo 19 el derecho de todo individuo a la libertad de opinión y expresión, incluyendo el derecho de investigar, recibir y difundir información y opiniones sin limitación de fronteras.
Además, el artículo 12 garantiza la protección legal contra injerencias arbitrarias en la vida privada, familia, domicilio y correspondencia.
El Pacto Internacional de Derechos Civiles y Políticos, ratificado por Uruguay, protege estos derechos en sus artículos 17 y 19.
La Observación General No. 34 del Comité de Derechos Humanos de la ONU reconoce expresamente la importancia del artículo 19 del Pacto Internacional de Derechos Civiles y Políticos en el contexto de Internet.
A nivel regional, la Convención Americana de Derechos Humanos, ratificada por Uruguay, otorga una gran importancia a la libre circulación de información e ideas, estableciendo que las restricciones a estos derechos deben ser mínimas y excepcionales según su artículo 13.
Por su parte, la dignidad y privacidad están protegidas por el artículo 11 de la Convención.
El Convenio de Budapest:
El Convenio de Budapest, o Convenio sobre la Ciberdelincuencia adoptado el 23 de noviembre de 2001, es el documento de referencia a nivel internacional en la materia de delitos digitales.
Este Convenio busca armonizar las legislaciones de los países firmantes en relación a los delitos informáticos, estableciendo las conductas que deben ser calificadas como tipos penales, adjudicando reglas de competencia y brindando herramientas de cooperación judicial.
A la fecha de 2016, el Convenio cuenta con 50 adhesiones.
En América, países como Argentina, Chile, Colombia, Costa Rica, México, Panamá, Paraguay, Perú, República Dominicana y Estados Unidos lo han ratificado.
Este Convenio es al día de la fecha, el único instrumento internacional vinculante en la materia, y obliga a los Estados firmantes a adoptar legislación interna que sancione conductas relacionadas con la confidencialidad, integridad y disponibilidad de datos y sistemas informáticos.
¿Qué son los delitos informáticos?
La variedad de delitos tecnológicos es amplia y se está expandiendo rápidamente debido al desarrollo de las herramientas informáticas que todos conocemos hoy en día.
A continuación veremos conductas que en la legislación nacional o internacional son calificadas como delitos informáticos, y su aplicación, adaptación y castigo en el régimen jurídico uruguayo.
Acceso ilícito (el delito de los hackers):
El delito de acceso ilícito generalmente se atribuye a la actividad de los llamados hackers de sombrero negro, individuos con conocimientos avanzados en informática que logran ingresar de manera no autorizada a sistemas informáticos con el objetivo de obtener información, dinero o modificarla en beneficio propio.
Estos expertos en informática aprovechan vulnerabilidades para destruir, divulgar, vender o alterar datos.
El bien jurídico protegido en este sentido, pese a que ha sido muy cuestionado, es la seguridad informática.
En esta nueva era digital es preciso que los sistemas informáticos mantengan su integridad e inviolabilidad, siguiendo los lineamientos propios de la seguridad de la información.
El Convenio de Budapest ya tipifica esta conducta, agregando ademas el acceso «doloso y sin autorización».
Hoy en día no tenemos una normativa específica para sancionar los delitos de hackeo, pero podrán quedar incursos en otros tipos penales ya existentes como veremos a continuación.
En el caso de tipificar estas conductas en Uruguay, para no vulnerar los principios generales y garantías de nuestro derecho, donde es preciso describir adecuadamente la figura típica, podrá calificar como elemento objetivo la vulneración a medidas de seguridad, como los sistemas de protección DRM, o el ataque a sistemas conectados a través de redes o medios telemáticos.
Como elemento subjetivo, podría considerarse la intención de obtener datos informáticos u otra intención delictiva.
Castigo del acceso ilícito en Uruguay
Si bien como expresáramos al principio no existe una normativa específica en Uruguay respecto a los delitos digitales, el 24 de diciembre de 1998, el Tribunal de Apelaciones en lo Penal de 1º Turno emitió una sentencia que podría considerarse uno de los primeros casos judiciales en los que se analizó un comportamiento de acceso ilícito a un sistema.
El imputado, una persona con conocimientos avanzados en informática y empleado del LATU, logró superar las medidas de seguridad informática del Laboratorio, accediendo a archivos a los que solo los clientes tienen autorización.
El Tribunal confirmó la sentencia de primera instancia en la que se le imputó el delito de Conocimiento fraudulento de documentos secretos.
Se fundamentó en dicha instancia que desde que un archivo se encuentra protegido por contraseñas para aquel que no la posee se considera secreto o confidencial, más allá del contenido del archivo en sí mismo.
La tipificación de la interceptación de datos en redes telemáticas se basa en la protección de los valores de privacidad e intimidad, que merecen ser resguardados tanto en el mundo analógico como en el digital.
Por otra parte lo anteriormente expuesto tiene una estrecha relación con la inviolabilidad de la correspondencia, la cual está protegida por los Artículos 28 de la Constitución de la República y 297 del Código Penal.
Interceptación Ilícita:
La interceptación ilícita de datos en redes telemáticas se basa en la protección de los valores de privacidad e intimidad, que son igual de importantes tanto en el mundo analógico como digital.
Está figura se encuentra estrechamente relacionada con la inviolabilidad de la correspondencia, que está protegida por los Artículos 28 de la Constitución de la República y 297 del Código Penal.
Falsificación Informática
La incorporación de delitos que sancionen la falsificación documental en el ámbito digital tiene como objetivo eliminar cualquier vacío legal que pueda surgir de la regulación tradicional.
Como mencionamos al principio, en Uruguay tenemos el artículo 4 de la Ley 18.600 de Firma y Documento Electrónico, el que amplía la aplicación de los delitos de falsificación documental a los documentos almacenados y transmitidos por medios electrónicos.
Una forma de falsificación de documentos que ha surgido en la actualidad es el «phishing». Un ejemplo reciente de esto ocurrió en agosto de 2016, cuando se difundió un correo electrónico que aparentaba ser de la Dirección General Impositiva, pero en realidad contenía un archivo adjunto con un virus que aprovechaba una vulnerabilidad en el equipo de la víctima. Lo mismo sucedió con correos electrónicos que pretendían ser del Poder Judicial y amenazaban a los destinatarios con el pago de una multa.
Fraude Informático:
Este delito es más conocido como el delito de Estafa por Internet.
La introducción de datos fraudulentos en sistemas informáticos con el objetivo de obtener beneficios económicos es una forma antigua de delito cibernético.
El bien jurídico protegido en este tipo de delito es el patrimonio económico de las personas. El Convenio de Budapest establece que se deben castigar los «actos deliberados e ilegítimos que causen un perjuicio patrimonial a otra persona…».
Actualmente, en la legislación Uruguaya, este delito se castiga por el tipo penal de estafa, lo cual ha dado lugar a numerosas controversias, creando un nuevo tipo penal que se denomina «estafa mecánica».
Delito de Estafa Mecánica en Uruguay:
En Uruguay, uno de los casos más conocidos fue la falsificación de tarjetas de teléfonos públicos donde ANTEL presentó una denuncia penal al descubrir el funcionamiento irregular de varias tarjetas de teléfonos, desde las cuales se realizaron llamadas por un total de más de $370,000, a pesar de que su valor nominal era de solo $200.
El Departamento de Delitos Económicos identificó y detuvo a tres individuos que, utilizando sus conocimientos en electrónica, habían alterado el jumper de una tarjeta para evadir el sistema que verificaba el agotamiento del saldo.
El Tribunal de Apelaciones en lo Penal de 2º Turno revocó la condena y condenó a los acusados por un delito continuado de estafa.
El tribunal reconoció la existencia de la figura de la «Estafa Mecánica» en nuestra legislación, donde se induce al error al sistema electrónico y, de manera indirecta, al Ente afectado.
La Suprema Corte de Justicia confirmó esta decisión en segunda instancia.
En el mismo año, el Juzgado Letrado en lo Penal de 15º Turno condenó a un funcionario del Banco República por un delito continuado de fraude (Art. 160 del Código Penal). Este funcionario había modificado el código fuente del software de balances de manera que transfería pequeñas cantidades de dinero a cuentas de su titularidad. El acusado logró acumular más de U$S 120,000 mediante fracciones pequeñas.
Formas de Estafa Informática en Uruguay:
En la actualidad las prácticas mas conocidas como formas de estafa informática y que por lo general afectas a los usuarios de los distintos sistemas de Intermediación Financiera son los siguientes:
- Ingeniería Social: En esta táctica, las personas son manipuladas mediante engaños o persuasión para que entreguen datos confidenciales, como pines o contraseñas.
- Phishing: (Práctica que también es utilizada en el delito de Falsificación Informática). En este caso, se utilizan correos electrónicos que solicitan visitar páginas web falsas que se asemejan a la apariencia del sitio oficial de un banco, con el fin de obtener información ingresada en esas páginas.
- Smishing: Esta modalidad de fraude es similar al phishing, pero se lleva a cabo a través de mensajes de texto en lugar de correos electrónicos.
Delito de Divulgación de Imágenes Íntimas
La posibilidad de grabar imágenes en alta definición con dispositivos cada vez más pequeños ha llevado a la divulgación de imágenes que originalmente se captaron para mantener su carácter íntimo.
Este tipo de divulgación se ha utilizado como una forma de extorsión, amenazas o venganza .generalmente en conflictos de pareja.
Los bienes jurídicos protegidos en estos casos son la imagen, la intimidad y la libertad sexual de la persona afectada por la divulgación.
En Uruguay esta figura delictiva se castiga con el tipo penal extorsión regulado en el art 345 del Código Penal.
Robo o Suplantación de Identidad:
El delito de robo o suplantación de identidad implica, en primer lugar, la obtención de información personal e identificatoria de la víctima, lo cual se lleva a cabo mediante diferentes métodos como ataques externos, ingeniería social, malware, phishing y otras técnicas, que se utilizan con este fin.
Luego con la información obtenida el delincuente puede ponerla a disposición de terceros, incluyendo su venta a otros perpetradores, o también puede quedarse con la misma y cometer otros delitos con ella, como estafas u otras acciones ilegales, con el objetivo de obtener un beneficio económico a través de la suplantación de identidad.
Este tipo de delitos afecta a bienes jurídicos como el honor, la privacidad y la propiedad de la víctima.
Ciberacoso y grooming:
El incremento del acoso a menores de edad a través de Internet, particularmente en redes sociales, representa un fenómeno preocupante que viola importantes derechos legales, como la libertad sexual y la integridad de la persona.
Aunque el delito de Grooming no está incluido en las recomendaciones del Convenio de Budapest, sí está contemplado en el Convenio del Consejo de Europa sobre la Protección de Niños contra la Explotación Sexual y el Abuso Sexual.
En Uruguay, a pesar de no contar con un tipo penal específico, la jurisprudencia ha recurrido a delitos existentes en el Código Penal, como el de Violencia Privada (art 288 del Código Penal), Atentado Violento al Pudor (art 273 CP) o la Ley de Pornografía Infantil, (Ley n° 17815).
Respecto a esta último es preciso tener presente que en nuestro país se encuentra prohibido la producción, distribución y explotación de imágenes de contenido sexual de menores de edad. Incluso acciones aparentemente simples como recibir y reenviar mensajes a través de aplicaciones de celulares como Facebook, correo electrónico o WhatsApp, que son capaces de soportar videos, generan cómplices de estos delitos.
Protección de datos personales:
El sistema de protección de datos personales y el proceso de habeas data establecidos en la Ley No. 18.331 en nuestro país no incluyen figuras delictivas para sancionar el tratamiento indebido de datos personales, siendo la sanción más severa prevista en nuestra ley y aplicable una sola vez desde su creación la clausura de dicha base de datos. Pero aún no cuenta con un tipo penal siempre que no sea subsumible en las figuras que vimos previamente.
¿Dónde se realizan las denuncias por delitos informáticos?
En Uruguay el encargado de procesar e investigar todo lo concerniente a delitos informáticos es la Dirección General de Lucha Contra el Crimen Organizado (D.G.L.C.C.O.) e INTERPOL, a través del Departamento de Delitos Tecnológicos de la Jefatura de Policía de Montevideo
Cualquier víctima de delitos tecnológicos podrá realizar denuncias ingresando a la pagina web www.policia.gub.uy o por el correo electrónico: delitosinformaticos@policia.gub.uy o por el teléfono: 152 2296.
También se podrán realizar denuncias por la vía ordinaria que es acudir ante la autoridad policial de tu zona, donde se recibirá tu denuncia y la derivarán a la Sección correspondiente.
Además del Departamento especializado en Delitos Informáticos dependientes del Ministerio del Interior, el artículo 73 de la Ley de Rendición de Cuentas del Ejercicio 2007, Número 18.362, ha creado dentro de AGESIC (Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento) el Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CERTuy), con el objetivo de regular la protección de los activos de información críticos del Estado.
