Por: Oscar Zevallos Prado (Abogado Asociado del Estudio Muñiz, Olaya, Meléndez, Castro, Ono & Herrera Abogados).
INTRODUCCIÓN:
Mediante Decreto Supremo N° 080-2020-PCM publicado el 03 de mayo del presente año, el Gobierno aprobó la reanudación de actividades económicas en forma gradual y progresiva dentro del marco de la declaratoria de Emergencia Sanitaria Nacional causada por el COVID-19; es precisamente que en dicho Decreto Supremo se señala que en las actividades incluidas en la “Fase 1” de reanudación se encuentra el comercio electrónico de bienes para el hogar y afines.
El comercio electrónico o también conocido como “E-commerce” permite que una actividad empresarial ofrezca un bien o servicio usando canales digitales (vía internet, vía App del celular u otra forma digital) y si bien es cierto este tipo de negocio digital era usado por muchas personas en nuestro país antes de la pandemia, como consecuencia de los efectos del COVID-19 nos tendremos que acostumbrar a una nueva forma de adquirir los bienes y servicios.
Es así que, en esta coyuntura toma especial relevancia la Ley Nº 30096, “Ley de Delitos Informáticos”, norma que tipifica las conductas penalmente revelantes que afectan los sistemas y datos informáticos, la indemnidad y libertad sexuales, la intimidad y el secreto de las comunicaciones, el patrimonio y la fe pública, en los cuales el criminal utiliza la tecnología con la finalidad de cometer diferentes ilícitos penales.
En el presente artículo, desarrollaremos algunos tipos penales de la mencionada Ley y explicaremos cuales serían los principales fraudes informáticos que se podrían cometer a través del E-commerce.
LEY DE DELITOS INFORMÁTICOS EN EL PERÚ:
En el año 2013 se publicó en nuestro país la Ley Nº 30096, “Ley de Delitos Informáticos”, que tuvo por objeto prevenir y sancionar las conductas ilícitas que afectan los sistemas y datos informáticos, la indemnidad y libertad sexuales, la intimidad y el secreto de las comunicaciones, el patrimonio y la fe pública, en los cuales el delincuente utiliza la tecnología actual para cometer dichos ilícitos.
La mencionada norma sufrió una modificación mediante la Ley Nº 30171 publicada el año 2014, en la cual se agregó a los tipos penales acceso ilícito (artículo 2º), atentado a la integridad de datos informáticos y sistemas informáticos (artículos 3º y 4º), interceptación de datos informáticos (artículo 7º), fraude informático (artículo 8º) y abuso de mecanismos y dispositivos informáticos (artículo 10º) las palabras “deliberada e ilegítimamente”, reafirmando que dichos tipos penales se cometen de forma dolosa, y se derogó el artículo 6º que tipificaba el tráfico ilegal de datos.
Ahora bien, es importante señalar que nuestros legisladores al momento de elaborar la mencionada Ley utilizaron como base el “Convenio sobre la Ciberdelincuencia” o más conocido como el “Convenio de Budapest”. Dicho Convenio – que se firmó en el año 2001 y entró en vigor internacionalmente en el año 2004- es un tratado internacional creado por los países miembros del Consejo de Europa “con el fin de hacer frente a los delitos informáticos a través de mecanismos de homologación de normas de derecho penal sustantivo, estandarización de procesos penales y cooperación internacional”. (1)
Al respecto de este convenio, es muy curioso que recién en el año 2019 el Poder Legislativo lo haya aprobado por Resolución Legislativa N° 30913, de fecha 12 de febrero de 2019, y con fecha 10 de marzo de ese mismo año el Poder Ejecutivo lo ratificó mediante Decreto Supremo Nº 010-2019-RE, cuando desde el año 2013 ya existía una Ley de Delitos Informáticos en el país y donde el mencionado Convenio hubiera sido de mucha utilidad para que los operadores de justicia puedan tomar conciencia sobre la protección de la seguridad informática y la cultura digital que debe existir en el país.
LOS DELITOS INFORMÁTICOS: FRAUDE INFORMÁTICO Y SUPLANTACIÓN DE IDENTIDAD PREVISTOS EN LA LEY Nº 30096:
Antes de desarrollar los ilícitos de fraude informático y suplantación de identidad, es importante definir que se entiende por delitos informáticos, los cuales son “aquellas conductas dirigidas a burlar los sistemas de dispositivos de seguridad, esto es, invasiones a computadoras, correos o sistemas de datas mediante una clave de acceso; conductas típicas que únicamente pueden ser cometidas a través de la tecnología. En un sentido amplio, comprende a todas aquellas conductas en las que la Tecnología de la Información y Comunicación (TIC) son el objetivo, el medio o el lugar de ejecución, aunque afecten a bienes jurídicos diversos (…)” (2)
En cuanto al bien jurídico, se entiende que se protege “en general (…) la información, pero esta considerada de diferentes formas, ya sea como un valor económico, como un valor intrínseco a la persona, por su fluidez y tráfico jurídico, y finalmente por los sistemas que la procesan o automatizan”(3); en otras palabras, también se deben proteger los bienes jurídicos tradicionales afectados a través de este tipo de delitos como son: el patrimonio, la reserva y confidencialidad de los datos, la fe pública, la indemnidad sexual y otros, por lo que comparto la opinión de diversos autores que afirman que se trata de un delito pluriofensivo, pues afecta varios bienes jurídicos.
Habiendo explicado la definición de los delitos informáticos y el bien jurídico protegido, debemos desarrollar el delito de fraude informático, el cual se encuentra previsto en el artículo 8º de la Ley Nº 30096, que señala expresamente lo siguiente:
“El que deliberada e ilegítimamente procura para sí o para otro un provecho ilícito en perjuicio de tercero mediante el diseño, introducción, alteración, borrado, supresión, clonación de datos informáticos o cualquier interferencia o manipulación en el funcionamiento de un sistema informático, será reprimido con una pena privativa de libertad no menor de tres ni mayor de ocho años y con sesenta a ciento veinte días-multa.
La pena será privativa de libertad no menor de cinco ni mayor de diez años y de ochenta a ciento cuarenta días- multa cuando se afecte el patrimonio del Estado destinado a fines asistenciales o a programas de apoyo social.”
De la redacción del tipo penal, se advierte que este ilícito lo puede cometer cualquier persona y en cuanto al sujeto pasivo también puede ser cometido contra cualquier persona natural, persona jurídica, institución bancaria e incluso gobiernos que usan sistemas automatizados de información, conectados unos entre otros.
Asimismo, este delito sanciona las conductas de diseñar –hacer un diseño– (4), introducir –entrar en un lugar– (5), alterar –estropear, dañar o descomponer– (6), borrar –desvanecer– (7), suprimir –hacer cesar, hacer desaparecer– (8), clonar –producir clones– (9), interferir –introducirse en la recepción de una señal y perturbarla– (10) o manipular –intervenir con medios hábiles en la información– (11) un sistema informático –todo dispositivo aislado o conjunto de dispositivos interconectados o relaciones entre sí, cuya función, o la de alguno de sus elementos, sea el tratamiento automatizado de datos en ejecución de un programa– (12) en perjuicio de un tercero.
Esta figura penal se clasifica como un delito de resultado, toda vez que no basta con realizar las conductas típicas mencionadas, sino que además es necesario que esa acción vaya seguida de un resultado separado de la misma conducta el cual es causar un perjuicio económico.
La redacción del tipo penal, deliberada e ilegítimamente, nos evidencia que únicamente se puede cometer de forma dolosa, no cabiendo la comisión por culpa; es decir, el agente debe tener la conciencia y voluntad de diseñar, introducir, alterar borrar, suprimir, clonar, interferir o manipular de forma ilegítima un sistema informático.
El otro delito que desarrollaremos, suplantación de identidad, se encuentra previsto en el artículo 9º de la mencionada Ley, que señala lo siguiente:
“El que, mediante las tecnologías de la información o de la comunicación suplanta la identidad de una persona natural o jurídica, siempre que de dicha conducta resulte algún perjuicio, material o moral, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años”
En cuanto al sujeto activo, se advierte que este ilícito lo puede cometer cualquier persona y respecto al sujeto pasivo puede ser cometido contra cualquier persona natural o jurídica.
Asimismo, este delito sanciona la conducta de suplantar –ocupar con malas artes el lugar de alguien– (13) la identidad de una persona natural o jurídica; en estos casos, el criminal ocupa la identidad de una persona natural o jurídica mediante cuentas de correo o redes sociales falsas con la finalidad de engañar y perjudicar a la víctima.
Otro elemento objetivo importante es que el sujeto activo debe utilizar tecnologías de la información o de la comunicación (TIC), la cual debe ser entendida como un “conjunto de recursos necesarios para tratar información a través de ordenadores y dispositivos electrónicos, aplicaciones informáticas y redes necesarias para convertirla, almacenarla, administrarla y transmitirla. A nivel de usuario, sea individual o empresa, las TIC forman el conjunto de herramientas tecnológicas que permiten un mejor acceso y clasificación de la información como medio tecnológico para el desarrollo de su actividad”(14). En el presente caso, el ciberdelincuente utiliza las TIC (servicios de mensajería instantánea, comercio electrónico, banca en línea) para obtener la información de una persona y así poder suplantarla.
Esta figura penal (suplantación de identidad) también se clasifica como un delito de resultado, toda vez que el mismo tipo penal señala la necesidad de un perjuicio material o moral.
En cuanto al elemento subjetivo, este tipo penal se puede cometer únicamente de forma dolosa; en otras palabras, el agente debe tener la conciencia y voluntad de suplantar la identidad de una persona natural o jurídica, ocasionando un perjuicio material o moral.
¿CUÁLES SON LOS PRINCIPALES FRAUDES QUE SE PODRÍAN COMETER A TRAVÉS DEL E-COMMERCE?
A diario y aún más en esta coyuntura vemos en los programas periodísticos que los delincuentes cometen diversos fraudes informáticos en perjuicio de los ciudadanos que muchas veces confían en la publicidad qué hay en internet (páginas web de compras online, Facebook o Instagram), WhatsApp, mensajes de texto, correos electrónicos y otros medios digitales, utilizando sus tarjetas de débito y crédito o realizando transferencias electrónicas para pagar los productos o servicios.
Si bien es cierto que estos fraudes se cometían antes de la pandemia ocasionada por el COVID-19, a partir de la declaratoria de Emergencia Nacional los centros comerciales y establecimientos medianos y pequeños que vendían diversos productos (electrodomésticos, ropa, equipos de oficina, computadoras e insumos en general) se encuentran cerrados, motivo por el cual el comercio electrónico o E-Commerce se convertirá en el principal canal de compra de bienes y servicios.
Ante ello, es importante que la población conozca las modalidades de fraude informático a fin de que pueda evitar ser víctima de este tipo de ilícitos, y si lamentablemente ocurriera pueda denunciar el hecho ante las autoridades policiales (División de Investigación de Alta Tecnología- DIVINDAT) o el Ministerio Público. A continuación, explicaremos cada una de las diversas modalidades de fraude informático:
- Clonación de tarjetas de crédito: Conducta delictiva cometida “mediante aparatos electrónicos de lectura de bandas magnéticas (skimmer) donde malos empleados de restaurantes, gasolineras y otros locales extraen los datos de la tarjeta de crédito. Luego, son copiadas a una computadora portátil o personal y, finalmente, copiadas a otra tarjeta clonada con los mismos datos personales de la tarjeta original.” (16) Ejm: Cuando se realiza la compra mediante delivery y se utiliza un POS modificado para extraer los datos de la tarjeta de crédito y luego los delincuentes clonan dicha tarjeta y efectúan compras por internet u otros canales digitales.
- Phishing: Conducta delictiva “diseñada con la finalidad de robarle la identidad al sujeto pasivo. El delito consiste en obtener información tal como números de tarjetas de crédito, contraseñas, información de cuentas u otros datos personales por medio de engaños”. (17) Ejm: Cuando se recibe mensajes de correos electrónicos o ventanas emergentes y la víctima ingresa sus nombres o datos personales lo que facilita al delincuente la obtención de nuestros datos.
- Spear Phishing o Phishing segmentado: Conducta delictiva que funciona como la modalidad anterior; sin embargo, en este caso los criminales deciden atacar a grupos vulnerables como por ejemplo los adultos mayores.
- Transferencias electrónicas fraudulentas: Conducta delictiva “mediante la modalidad del “phishing”, donde el timador busca que alguien revele información confidencial personal que puede ser usada para robarle su dinero, luego de obtener la información necesaria para acceder a la cuenta del banco y procedan a efectuar operaciones fraudulentas por internet” (18). Ejm: Cuando se utilizan correos falsos de entidades bancarias, pidiéndote una serie de información, momento en el cual el ciberdelincuente trata de conseguir toda la información posible de su víctima para luego realizar transferencias electrónicas fraudulentas.
- Compras por internet mediante información de tarjetas de crédito o débito: La conducta delictiva se comete cuando el delincuente aprovechando que la víctima está realizando una compra mediante una conexión WiFi-pública sustrae información de la tarjeta de crédito o débito (16 dígitos del anverso de la tarjeta, la fecha de vencimiento o el código de verificación) utilizando la tecnología. Posteriormente, ese mismo día utilizando dicha información realiza compras por internet en distintas páginas web conocidas o seguras a fin de evitar sospechas.
- Vishing: Conducta delictiva “en la cual el sujeto activo envía un SMS haciéndose pasar por una entidad bancaria, pidiendo bajo alguna excusa que te comuniques con algún teléfono falso o respondas el SMS con información confindencial (número de tarjeta o clave secreta).” (19)
- Ransomware: Conducta delictiva “que utiliza un tipo de malware (software malintencionado) que los criminales instalan en las PC sin consentimiento y bloquean el equipo desde una ubicación remota (…) a fin de que el ordenador se bloquee” (20) y con ello sustraer información. Ejm: Cuando la víctima abre un adjunto malintecionado en un correo electrónico, sitio web de compras o redes sociales, descargando dicho programa en su computadora lo que facilita la sustracción de información.
- Smishing: Conducta delictiva “que utiliza los mensajes de texto en telefonía celular los cuales enmascaran el número telefónico de origen y, asimismo, suelen mostrar en el contenido del mensaje de texto direcciones de instituciones (…) que, en realidad, en caso de que el usuario de clic (…) lo llevarán a una página de phishing o su dispositivo móvil será contaminado por un código malicioso.” (21) Ejm: Cuando la víctima recibe mensajes de texto señalando que ha ganado un premio y para ello debe ingresar a un link que se encuentra en el mismo mensaje.
Por todo lo expuesto, es importante que el Gobierno trate de dotar a los operadores de justicia con todas las herramientas para poder luchar contra esta delincuencia o más conocida como “ciberdelincuencia” y sobretodo otorgarle a la DIVINDAT y a la Oficina Técnica del Ministerio Público mayores implementos tecnológicos a fin de que puedan hacer una correcta y adecuada investigación con la finalidad de identificar a los ciberdelincuentes que cometen estos ilícitos.
CONCLUSIONES:
- El comercio electrónico o también conocido como “E-commerce” permite que una actividad empresarial ofrezca un bien o servicio usando canales digitales (vía internet, vía App del celular u otra forma digital).
- Los delitos informáticos se encuentran establecidos en una ley especial, Ley Nº 30096- Ley de Delitos Informáticos.
- La investigación en este tipo de delitos es llevada a cabo por el Ministerio Público con apoyo de la División de Investigación de Delitos de Alta Tecnología (DIVINDAT).
- Los delitos que se comenten de forma más usual en nuestro país son los delitos de Fraude Informático y Suplantación de identidad.
- Los principales fraudes informaticos que se pueden cometer en el E-commerce son clonación de tarjetas, transferencias electrónicas fraudulentas, compras por internet mediante informacion de tarjetas de crédito o débito, vishing, ransomware, smishing y phishing.
- A modo de recomendación, sugerimos que al momento de realizar compras en canales digitales evite comprar en páginas web no seguras o poco conocidas y en ningún caso se debe responder correos electrónicos o mensajes de texto donde te piden información personal muy detallada.
Fuente: IUS 360
BIBLIOGRAFÍA
(1) GUERRERO ARGOTE, Carlos. De Budapest al Perú: Análisis sobre el proceso de implementación del Convenio de Ciberdelincuencia impacto en el corto, mediano y largo plazo. Editorial: Derechos Digitales América Latina, 2018, p.4
(2) VILLAVICENCIO TERREROS, Felipe. Delitos Informáticos. Revista IUS ET VERITAS. Lima, 2014, N° 49, pp. 286-287
(3) ACURIO DEL PINO, Santiago. Delitos Informáticos : Generalidades. pp. 20-21 Consulta: 19 de mayo de 2020 https://www.oas.org/juridico/spanish/cyb_ecu_delitos_inform.pdf
(4) https://dle.rae.es/dise%C3%B1ar
(5) https://dle.rae.es/introducir?m=form
(6) https://dle.rae.es/alterar?m=form
(7) https://dle.rae.es/borrar?m=form
(8) https://dle.rae.es/suprimir?m=form
(9) https://dle.rae.es/clonar?m=form
(10) https://dle.rae.es/interferir
(11) https://dle.rae.es/manipular?m=form
(12) Convenio sobre la Ciberdelincuencia (Budapest)
(13) https://dle.rae.es/suplantar?m=form
(14) https://economiatic.com/concepto-de-tic/
(15) AMERICAN BAR ASSOCIATION (ABA)-Rule of Law Initiative. Proyecto de Apoyo al Sector Justicia. Taller de Investigación Criminal y Litigación Oral Especializado en Delitos Informáticos- Cybercrime (diapositiva). Consulta: 19 de mayo de 2020
(16) ACURIO DEL PINO, Santiago. Delitos Informáticos : Generalidades. pp. 24-25 Consulta: 19 de mayo de 2020 https://www.oas.org/juridico/spanish/cyb_ecu_delitos_inform.pdf
(17) AMERICAN BAR ASSOCIATION (ABA)-Rule of Law Initiative. Proyecto de Apoyo al Sector Justicia. Taller de Investigación Criminal y Litigación Oral Especializado en Delitos Informáticos- Cybercrime (diapositiva). Consulta: 19 de mayo de 2020
(18) AMERICAN BAR ASSOCIATION (ABA)-Rule of Law Initiative. Proyecto de Apoyo al Sector Justicia. Taller de Investigación Criminal y Litigación Oral Especializado en Delitos Informáticos- Cybercrime (diapositiva). Consulta: 19 de mayo de 2020
(19) AMERICAN BAR ASSOCIATION (ABA)-Rule of Law Initiative. Proyecto de Apoyo al Sector Justicia. Taller de Investigación Criminal y Litigación Oral Especializado en Delitos Informáticos- Cybercrime (diapositiva). Consulta: 20 de mayo de 2020
(20) AMERICAN BAR ASSOCIATION (ABA)-Rule of Law Initiative. Proyecto de Apoyo al Sector Justicia. Taller de Investigación Criminal y Litigación Oral Especializado en Delitos Informáticos- Cybercrime (diapositiva). Consulta: 20 de mayo de 2020
