Spanish (pdf)
Article in xml format
Automatic translation
Cited by SciELO 
Cited by Google 
Similars in
SciELO 
Similars in Google 
Permalink
1. Presupuestos de los que se parte
En la actualidad se encuentra muy arraigada la idea de que el análisis del Derecho penal no puede ceñirse a lo estrictamente jurídico y debe, en cambio, incorporar el aporte de otras áreas del conocimiento, en especial de la criminología1 en tanto ciencia interdisciplinaria2 y empírica3. Con más o menos matices, y con independencia del delito que se examine, los estudios criminológicos permiten establecer, entre otras cosas, cuáles son los medios y contextos de ejecución, quiénes son los autores y víctimas4, así como cuáles son las consecuencias de un específico delito. Gracias a ellos se favorece una creación, revisión, interpretación y aplicación de los tipos penales más vinculada con la realidad y, en estrecha relación con ello, una mejor comprensión y explicación de un determinado fenómeno delictivo5.
Respecto del análisis de los delitos informáticos, son varios los factores que refuerzan la importancia de considerar los resultados de estudios criminológicos. Dichos delitos se vinculan con la informática, y ella presenta una serie de notas distintivas, que dificultan la comprensión de este sector de la criminalidad. Por una parte, la informática es un área del conocimiento caracterizada por una alta especificación y complejidad técnica6, que se refleja en el empleo de una terminología y unos códigos particulares, “que prácticamente constituyen un idioma propio”7. Por otra parte, el desarrollo que constantemente experimenta la informática supone numerosas modificaciones en periodos muy breves de tiempo8. Pues bien, tanto los legisladores como los operadores del sistema procesal penal (jueces, fiscales, defensores) y la doctrina especializada se ven en la necesidad de enfrentar este ámbito multidisciplinar del saber9, comprender sus rasgos esenciales y adaptar su labor a una realidad en continuo cambio10.
El presente estudio sólo se referirá a los aspectos criminológicos de los delitos informáticos en sentido estricto11 (en adelante, “delitos informáticos”), entendiendo por tales aquellas conductas (delictivas) que afectan el software o soporte lógico de un sistema de tratamiento automatizado de la información12. Por lo mismo, el examen se concentrará en comportamientos como el sabotaje, el espionaje y el fraude informático13. El análisis criminológico de los delitos informáticos en sentido amplio14 o, lo que es lo mismo, de los delitos tradicionales cometidos a través de computadoras y, muy especialmente, de internet (v. gr., extorsión o difusión de pornografía infantil), amerita una investigación específica, a propósito del delito tradicional de que se trate. De otro lado, el estudio se dedicará fundamentalmente a la delincuencia informática que se ejecuta a través de internet -o “cibercriminalidad”15 y, en todo caso, a aquella que implica el uso de redes computacionales. En ese orden de ideas, el trabajo asume que no es el mero empleo de computadoras como máquinas de almacenamiento y tratamiento de datos “aisladas”16 lo que justifica una investigación particular, sino que su uso como sistemas de interconexión (remota y masiva) entre los individuos17. Es, en ese contexto, en el que pueden surgir particulares riesgos para los intereses de las personas18, cuya correcta y oportuna identificación resulta relevante al evaluar la política criminal más adecuada para enfrentarlos.
Este trabajo no constituye el resultado de una investigación criminológica, sino que un análisis de estudios nacionales y extranjeros ya publicados, así como de sentencias chilenas sobre conductas subsumibles en la Ley Nº 19.223 (de 7 de junio de 1993, que tipifica figuras penales relativas a la informática), que puedan ser útiles para el examen dogmático y político criminal de la delincuencia informática. En relación con su examen, cabe efectuar algunas prevenciones:
Primero, la delincuencia informática constituye una materia que sólo en tiempos recientes ha concentrado la atención de los criminólogos, entre otras cosas, porque su surgimiento no es imaginable sin la existencia de computadoras19. A diferencia de otros ámbitos de la criminalidad, que tradicionalmente han sido objeto de la criminología (v. gr., la criminalidad vinculada con el tráfico de drogas o vial; la criminalidad sexual o económica; etc.), el examen criminológico autónomo20-21 de la delincuencia informática, y sobre todo de la criminalidad informática en sentido estricto, es todavía muy incipiente22, no obstante se reconoce el progresivo interés que irá adquiriendo hacia el futuro23. Ello ha generado una gran escasez de evidencia empírica disponible, incluso en aquellos países con una vasta tradición en estudios criminológicos24. Chile no es una excepción a este estado de cosas, como lo demuestran los exiguos datos que hasta la fecha existen en relación con los medios y contextos de ejecución, los autores y víctimas, y las consecuencias de dichos delitos25.
Segundo, a pesar de que la literatura extranjera relativa a la criminalidad informática se basa en descripciones típicas que no siempre coinciden con las nacionales, su análisis normalmente se refiere a -más o menos- la misma clase de comportamientos26. Si a ello se suma que muchos delitos informáticos tienen un carácter transnacional27, se advertirá que parte importante de las conclusiones a las que llega la doctrina extranjera pueden resultar aplicables al examen local de este sector de la criminalidad28. Probablemente, la mayor dificultad que provoca el análisis de la literatura extranjera en este contexto, tiene que ver con su objeto de estudio. En efecto, ésta suele no distinguir entre delincuencia informática en sentido amplio y estricto29, y su énfasis muchas veces se halla en comportamientos integrantes de la cibercriminalidad sexual, o cuyos autores o víctimas son adolescentes30, no así en el sabotaje, en el espionaje o en el fraude informáticos. Algo parecido puede decirse de quienes se abocan, ampliamente, a la denominada cyber criminology, entendiendo por tal “el estudio de la comisión de crímenes que se llevan a cabo en el ciberespacio y su impacto en el espacio físico”31.
Tercero, pese a que las estadísticas sobre denuncias y condenas pueden ser útiles para comprender y explicar algunos aspectos criminológicos involucrados en la delincuencia informática, su valor no debe sobreestimarse. Los delitos informáticos que son conocidos en el sistema procesal penal representan sólo una parte de la criminalidad informática, cuyas efectivas dimensiones son muy difíciles de precisar, entre otras razones, por los problemas que enfrentan su denuncia, investigación y juzgamiento32. En la misma línea, las sentencias chilenas sobre conductas subsumibles en la Ley Nº 19.223 son escasas y no siempre aportan luces sobre los medios y contextos de ejecución, los autores y víctimas, o las consecuencias de dichos ilícitos. De ahí que su referencia se circunscriba a aquellos aspectos de los casos fallados que, más allá de su calificación jurídica, puedan resultar de interés para el análisis criminológico de tales delitos.
2. Consideraciones generales sobre el potencial lesivo de la criminalidad informática
En nuestros días, son muchas las actividades cuyo funcionamiento supone almacenar, procesar y transferir datos a través de sistemas informáticos. Al mismo tiempo, casi no existen ámbitos de actuación que no involucren, directa o indirectamente, el uso de dichos sistemas33. Así, por ejemplo, se emplean sistemas informáticos a nivel doméstico (v. gr., en actividades de entretención o educativas); laboral (en la administración pública o en el ámbito privado); en una serie de servicios (prestados por agencias estatales, bancos o instituciones financieras; etc.); en diversas operaciones de mediana o gran envergadura, incluso de carácter estratégico (en materia militar, científica o industrial); entre otros34. Más aún, existen actividades económicas que han pasado a desarrollarse, si no exclusiva (v. gr., tiendas que sólo operan online), al menos predominantemente a través de internet (por ejemplo, las transferencias bancarias o las ventas de pasajes aéreos)35. A partir de ello se sostiene que el potencial lesivo de la criminalidad informática descansa, fundamentalmente, en que la sociedad actual se ha vuelto extremadamente dependiente del correcto funcionamiento de los sistemas informáticos36. Producto de esa dependencia, los diversos ámbitos de actividad en que se utilizan sistemas informáticos se tornan cada vez más vulnerables frente a los comportamientos (delictivos) que pudieran llegar a afectarlos37. Entre tales ámbitos, la denominada “infraestructura crítica”38 (suministro eléctrico y de agua potable, medios de transporte y telecomunicaciones, servicios sanitarios, etc.39) constituye un objetivo particularmente sensible de posibles “ataques informáticos”40.
Los estudios criminológicos referidos a los delitos informáticos se centran especialmente en la criminalidad llevada a cabo a través de internet41. La razón de este interés por la cibercriminalidad no es casual: “[i]nternet se ha consolidado como pieza clave de la infraestructura mundial de la información y desempeña un papel crucial en el desarrollo económico”42. Su uso permite, entre otras cosas, una comunicación instantánea (v. gr., a través de mensajes de voz o texto, o del uso de redes sociales) desde y hacia cualquier parte del mundo y a un costo (económico y técnico) al acceso de casi cualquier persona43. La utilización generalizada de smartphones y tablets con conexión a internet ha posibilitado, además, que el intercambio de información se verifique en todo momento y bajo cualquier circunstancia44. Internet también permite almacenar enormes cantidades de información, mediante los denominados servicios en la nube o cloud computing45. Sobre esa base se afirma que la masificación de las tecnologías de la información y la comunicación (en adelante, TIC) y, sobre todo, de internet, operaría como un factor criminógeno46, al menos en dos sentidos. Por una parte, tal masificación favorecería la comisión47 y el incremento48 (correlativo) de la criminalidad informática. Que a través de internet haya aumentado el volumen total de la criminalidad, es un asunto que aún no se encuentra esclarecido49. En relación con este punto, lo más probable es que muchos autores aprovechen las nuevas formas de relacionamiento que ofrecen las tecnologías y comiencen a realizar en el espacio virtual varios de los comportamientos que antes sólo ejecutaban en el espacio real50. Por otra parte, tal masificación favorecería la expansión de daños de grandes dimensiones51. En este contexto, los datos informáticos aparecen como objetos particularmente vulnerables52, debido a la (mayor o menor) facilidad y rapidez técnicas para acceder a ellos53, copiarlos54, memorizarlos, borrarlos, modificarlos y transmitirlos, de manera prácticamente ilimitada, mediante redes computacionales55.
La criminalidad informática se caracteriza además por ser potencialmente transnacional o transfronteriza56 y formar parte, desde este punto de vista, de la denominada “globalización del delito”57. De acuerdo con la doctrina, tratándose de la comisión de ciberdelitos, lo usual será la ejecución de “delitos a distancia”, caracterizados porque “la conducta no se inicia o no tiene lugar en el mismo Estado que la consumación”58. O bien, de “delitos de tránsito”, cuya nota distintiva es que “tanto la conducta como la consumación tienen lugar en país extranjero, sirviendo el Estado de que se trate solamente de lugar de tránsito (por ejemplo, porque la información pasa por un servidor ubicado allí)”59. Las enormes posibilidades de comunicación que ofrece la red permiten, asimismo, que agentes ubicados en distintos países coordinen, desde sus computadoras, la comisión de comportamientos delictivos60, incluso de enormes efectos lesivos. A pesar de que existen otros ámbitos de la criminalidad potencialmente transnacionales (v. gr., el terrorismo, la trata de personas, el tráfico de drogas o el lavado de activos)61, la cibercriminalidad “navega por la red”62, disminuye particularmente la exposición de sus autores y, con ello, las probabilidades de que sean descubiertos. Por otra parte, pese a que existen instrumentos internacionales tendientes a dar una respuesta, si no uniforme, al menos armónica frente a la criminalidad informática63, entre los que destaca el Convenio sobre Ciberdelincuencia del Consejo de Europa, de 200164, no existe -ni es claro que pueda llegar a existir- una normativa de aplicación global en esta materia. Ello aumenta el riesgo de que la regulación penal del cibercrimen varíe de forma considerable entre un país y otro, así como que se generen “paraísos cibernéticos”65 respecto de determinados Estados. A la luz de tales consideraciones se plantea que muchos delitos informáticos no son detectados66 ni sancionados oportunamente, lo que puede generar una repetición y generalización de comportamientos que, no obstante afectar bienes jurídicos de terceros, permanezcan en la impunidad.
3. Medios de comisión de los delitos informáticos
3.1. Características fundamentales de la conducta en los delitos informáticos
El comportamiento de los delitos que inciden en el soporte lógico de un sistema informático e implican el uso de redes computacionales se identifica, en términos generales, con alguna de las siguientes conductas67: aquellas que suponen destrucción o inutilización de datos o programas de sistemas informáticos, que suelen vincularse con el concepto de sabotaje informático; las que implican acceso u obtención indebidos de datos o programas de sistemas informáticos, que suelen ligarse con la idea de espionaje informático; y las que suponen alteración o manipulación de datos o programas de sistemas informáticos, que suelen vincularse con el concepto de fraude informático.
Además, existen comportamientos que, no obstante poder implicar la realización de alguna de las conductas indicadas, por lo general se examinan separadamente. Se trata de las hipótesis de falsificación informática y, sobre todo, de aquellas que involucran infracciones de la propiedad intelectual y de los derechos afines68, cuyo análisis detallado no es posible emprender en este lugar. Con todo, a ellas pueden resultar aplicables las consideraciones que se efectúan en el presente trabajo, en la medida en que su realización implique el uso de redes computacionales en tanto contexto delictivo en el que puedan surgir particulares riesgos para los intereses de los individuos69.
Igualmente, existen comportamientos que pueden ser difíciles de encasillar en alguno de los tres grupos de hipótesis indicados supra, fundamentalmente porque pueden llevarse a cabo para posibilitar o facilitar la ejecución de otras conductas que integran la criminalidad informática. Es lo que ocurre, por ejemplo, con la difusión de malware o software malicioso70, o con el acceso indebido a datos o programas informáticos -también conocido como hacking71-72-, que pueden orientarse a la ejecución de un sabotaje informático, de un espionaje informático, o bien, de un fraude informático. Precisamente dicha circunstancia ha llevado a plantear que (cada uno de) los delitos informáticos forman parte de un ciclo delictivo (bastante) más amplio, integrado por muchas otras conductas73, de manera análoga a como se ha sostenido a propósito del tráfico ilícito de estupefacientes o de los delitos que tienen por objeto pornografía infanto-juvenil74.
Si se considera que la informática experimenta cambios constantemente y que la criminalidad informática puede ser cometida por (una gran cantidad de) personas provenientes de distintos contextos geográficos y culturales, se advertirá la enorme variedad de comportamientos que pueden constituir expresiones de sabotaje, de espionaje y de fraude informático. En ese orden de ideas, por más exhaustivo que sea el estudio de las formas concretas de comisión de dichos delitos, éste se enfrentará a la obsolescencia de ciertas conductas, al surgimiento de nuevas manifestaciones delictivas75 y a una consiguiente necesidad de ulteriores investigaciones76. En este contexto, el examen se centrará en aquellos comportamientos vinculados con las nociones de sabotaje, espionaje y fraude informáticos que resulten más relevantes desde un punto de vista práctico -sea por su gravedad o frecuencia-, de acuerdo con el estado actual de desarrollo de este ámbito de la criminalidad. Respecto de este punto, cabe hacer presente, que mientras en otros países la delincuencia informática ha tenido, en términos generales, una importancia práctica creciente y sostenida en el tiempo77, en Chile el número de denuncias y condenas por delitos informáticos es todavía exiguo en relación con las denuncias y condenas por la comisión de otros delitos78. La doctrina que ha analizado las posibles causas de este estado de cosas, destaca las dificultades probatorias que experimenta la persecución penal de los delitos informáticos, la falta de capacitación de policías y jueces, entre otros79.
3.2. Conductas relacionadas con el sabotaje informático y su relevancia
La idea de sabotaje informático se vincula con las nociones de destrucción o inutilización de datos o programas de sistemas informáticos80. Asimismo, la doctrina señala que el sabotaje informático puede implicar una paralización en el traspaso de la información por una neutralización funcional de los servicios (públicos o privados) relacionados81.
Una de las principales maneras de llevar a cabo un sabotaje informático -y otros delitos informáticos- es a través de un malware o software malicioso. Prácticamente todas las computadoras han tenido, tienen o tendrán alguna clase de malware y éstos, además de crecer en número, variarán a medida en que cambien las tecnologías82. En ese sentido, la rapidez con la que un virus puede infectar otros computadores ha aumentado considerablemente en los últimos años, y muchos malwares se han vuelto más poderosos y fáciles de utilizar83. Igualmente, es común que la difusión de malware opere en cadena, por ejemplo, a través del envío de un archivo incluido en un correo electrónico, que infecta la computadora del destinatario y que es reenviado involuntariamente por éste a otras personas84.
Ejemplos de malware o software maliciosos son los virus, gusanos o troyanos. El virus es la forma más sencilla y antigua de malware y opera básicamente alojándose en otro archivo (normalmente ejecutable) que, al ser infectado, puede seguir diseminando el virus85. El gusano, en cambio, en lugar de infectar otras aplicaciones, realiza copias respecto de sí mismo86. El troyano, como su nombre lo sugiere, es un programa con apariencia inofensiva, que oculta la ejecución de funciones maliciosas87. A ellos se suma, entre otros, el ransomware, esto es, un malware que altera o torna inoperativo un sistema informático y exige un “rescate” a cambio de su restablecimiento88. O bien, el scareware, o sea, un malware que genera la aparición en pantalla de mensajes de advertencia (v. gr., obtención de premios o detección de virus), que buscan generar ansiedad o preocupación en quienes los visualizan, a fin de que adopten ciertas medidas89, como descargar aplicaciones supuestamente inofensivas que, en realidad, son maliciosas.
Al uso de malware o software maliciosos puede añadirse el empleo de bombas lógicas, que activan una función maliciosa frente al cumplimiento de un plazo o de una condición90; así como el uso de botware, esto es, una especie de malware91 que permite el acceso y control remoto de un sistema informático92, que tras ser capturado pasa a denominarse bot o zombie, y que al unirse a otros bots o zombies conforma una botnet93.
Otra manera de llevar a cabo un sabotaje informático es a través del denominado ataque de denegación de servicios94 o DoS (sigla que proviene del término inglés Denial of Services). Desde la perspectiva de quienes lo sufren, el ataque DoS “[limita] total o parcialmente el acceso de los usuarios legítimos de un servicio a la funcionalidad que éste ofrece”95. Desde la perspectiva de quien lo ejecuta, se trata de un “[c]iberataque consistente en saturar el servidor del sistema logrando que el mismo se centre en la petición que realiza el atacante, sin que pueda atender a ninguna más”96. El ataque puede ejecutarse mediante la técnica de la inundación, que implica enviar desde una dirección un gran número de mensajes o paquetes maliciosos a la máquina objetivo, cuyo procesamiento agota los recursos de la víctima e impide que atienda peticiones de usuarios legítimos97. O bien, a través de la técnica de la vulnerabilidad, que supone aprovechar una falla descubierta en la máquina objetivo a la que se envía, desde una dirección, uno o más mensajes o paquetes maliciosos98. En los denominados ataques DDoS (sigla que proviene del término inglés Distributed Denial of Services), en cambio, las peticiones no provienen de una sola dirección, sino que de varias99 (normalmente gracias al uso de una botnet100), lo que afecta de forma considerable las posibilidades de defensa del sistema atacado101.
Desde el punto de vista de su relevancia práctica, el sabotaje informático ha adquirido importancia más por la gravedad de los efectos que puede llegar a tener, que por la frecuencia en su ejecución, sobre todo si se lo compara con el fraude informático102. Dichos efectos pueden ir desde la destrucción o inutilización acotada de datos o programas de sistemas informáticos, pasando por los “bloqueos” de páginas web de determinados organismos o empresas103, hasta llegar a la denominada “guerra cibernética”, una de cuyas manifestaciones serían los “ataques informáticos” o “ciberataques”104, por ejemplo, contra el sistema informático que controla infraestructura crítica de un adversario105. En relación con este último punto, quizás uno de los casos más espectaculares de los que se tiene registro fue la afectación de infraestructura nuclear iraní hacia el año 2010, a través del malware “Stuxnet”106. Ahora bien, lo más probable es que mientras más sofisticado y destructivo sea el sabotaje informático, más dirigido -esto es, respecto de una víctima muy concreta- será el “ataque informático” de que se trate107.
3.3. Conductas relacionadas con el espionaje informático y su relevancia
El concepto de espionaje informático puede emplearse en diversos sentidos. Por una parte, está el espionaje informático que implica acceso u obtención indebidos de datos o programas que contienen información íntima o privada de particulares. Por otra parte, está el espionaje informático que supone acceso u obtención indebidos de datos o programas de empresas u otra clase de organismos108, comportamiento que puede denominarse espionaje informático de carácter industrial, científico, militar, etc. En uno y otro caso puede que el espionaje informático importe acceso u obtención indebidos de información que se encuentra almacenada (v. gr., en una nube), o bien, de información en tránsito (por ejemplo, que está siendo enviada de un sistema informático a otro)109.
El espionaje informático admite diversos grados, que se relacionan tanto con la cantidad como -sobre todo- con el carácter de los datos espiados a través de sistemas informáticos. En ese orden de ideas, una modalidad de espionaje informático al límite de lo penalmente relevante, en atención a su escasa lesividad, es la que tiene lugar a través del uso de cookies, que corresponden a archivos que un sitio web envía al sistema informático del usuario, en el que quedan almacenados, y que permiten identificar la actividad previa del usuario en la red110. Algo parecido puede decirse de los denominados adware, esto es, “programas autoejecutables que, generalmente sin conocimiento ni consentimiento del usuario, muestran publicidad en el ordenador al instalarse o al interaccionar con determinadas webs, y que pueden servir para espiar sus hábitos en internet”111; así como de los browser-hijackers, o sea, programas (normalmente incluidos entre los malware) que pueden cambiar la configuración del navegador (por ejemplo, la página de inicio por defecto), producir anuncios a través de pop-ups, añadir marcadores o redirigir a los usuarios a sitios web no deseados112.
Menos discutible es la punibilidad del empleo de sniffers, esto es, programas que rastrean y capturan determinados tráficos de información que navega en la red para su posterior análisis (v. gr., para detectar fallas en redes o sistemas informáticos) y eventual uso con fines delictivos113; así como de web bugs, que son pequeños gráficos que se incorporan en páginas web o de correo electrónico para recopilar información sobre la fecha u hora de acceso, así como sobre la dirección IP y la clase de navegador del ordenador desde el que se accede a ellas114. También puede agregarse el uso de keyloggers, que registran las pulsaciones realizadas en el teclado de una computadora115 y que permiten, por ejemplo, identificar su clave de correo electrónico o de acceso a la banca en línea; así como de screenlogers, que registran las entradas que se producen en la pantalla de una computadora116 y que pueden emplearse con fines análogos a los indicados respecto de los keyloggers.
En ocasiones, mecanismos como los señalados son incluidos dentro del concepto amplio de spyware117, esto es, un software que, una vez instalado en el sistema informático de que se trate, registra sus datos y procesamiento, para luego trasmitírselos al agente, quien puede utilizar esa información con distintas finalidades118. De acuerdo con la doctrina, el spyware permite detectar aquellos datos que resultan de interés para el espía119, y puede ser descargado inconscientemente por la víctima al recibir un correo electrónico que lo contiene o al descargar otra clase de programa120.
La comisión de un espionaje informático -así como de otros delitos informáticos- puede implicar el empleo de una backdoor. Una backdoor es parte de un programa -incluido los spyware-, que permite al agente acceder a un sistema informático, o a una función protegida de un programa, eludiendo las medidas de seguridad establecidas para el acceso. Gracias a esta “puerta trasera”, que en los modernos spyware se crea automáticamente, el autor de un comportamiento delictivo puede acceder una y otra vez al sistema informático de que se trate, sin mayores dificultades121.
En cuanto a su relevancia práctica, el espionaje informático tiene importancia en sí mismo y respecto de la comisión de ulteriores delitos informáticos. Si el espionaje se identifica con el mero acceso indebido a datos o programas (hacking), se advertirá que todos los delitos informáticos requieren, en algún sentido, de un acceso a tales datos o programas para su perpetración. Ahora bien, si junto al acceso indebido se considera la obtención, también indebida, de datos o programas, se reduce el círculo de casos que, en la práctica, constituyen espionaje informático. Entre ellos, cabe destacar las hipótesis de espionaje de información relativa a particulares, que se cometen para luego llevar a cabo diversas extorsiones o blackmails. Es lo que habría ocurrido con el espionaje de datos del servicio de affairs en línea Ashley Mason, que se habría extendido tanto a información privada de sus clientes como a información confidencial de la propia compañía122.
3.4. Conductas relacionadas con el fraude informático y su relevancia
Desde un punto de vista conceptual, la idea de fraude informático evoca la producción de un perjuicio patrimonial a través de la alteración o manipulación de datos o programas de sistemas informáticos123. Sin embargo, desde la perspectiva de las conductas que se cometen en la práctica, el fraude informático es entendido en términos bastante más amplios y suele identificarse con comportamientos muy diversos124, que muchas veces corresponden a etapas de ejecución imperfecta e incluso a actos preparatorios de un fraude propiamente dicho. En especial el phishing y pharming, que normalmente se llevan a cabo en relación con operaciones bancarias125, caen dentro de esta categoría.
El phishing supone una obtención fraudulenta de datos de identidad personales de clientes de bancos y de sus cuentas bancarias o tarjetas de crédito126, destinada a efectuar transacciones electrónicas en favor del agente127 o de terceros. La obtención de tales datos puede lograrse a través de diversos medios, que incluyen desde la denominada “ingeniería social”128, hasta la afectación del soporte lógico de un sistema informático. En sus primeras variantes, el phishing implicó el envío de correos spam masivos e indiscriminados129, supuestamente provenientes de fuentes fiables130, en los que se les solicitaba a los receptores la entrega de informaciones relativas a sus cuentas131, a veces bajo la amenaza de que, en caso de no ser proporcionadas, éstas serían canceladas o bloqueadas132. Luego, ante las medidas informativas y preventivas adoptadas por los propios bancos133, el phishing se extendió a otros comportamientos, como el uso de un malware que, para obtener informaciones sensibles, ataca directamente las operaciones que realiza la víctima134. Adicionalmente, es posible que el phisher se limite a obtener fraudulentamente los datos de identidad personales de clientes de bancos y de sus cuentas bancarias o tarjetas de crédito y los comercialice135, a fin de que sean otros quienes perjudiquen el patrimonio de la víctima. O bien, que operen intermediarios (también conocidos como “mulas”), que facilitan -consciente o inconscientemente- sus cuentas bancarias para recibir el dinero obtenido fraudulentamente, y luego lo traspasan al autor del fraude136.
El pharming, por su parte, implica la creación y operación de una página web falsa, muy parecida o igual a la de una entidad, fundamentalmente bancaria137 o de otra naturaleza138, como un sitio de subastas (por ejemplo, eBay). En este caso, puede ocurrir que el usuario ingrese el nombre del banco en un buscador (v. gr., Google) o la dirección web de la entidad bancaria en la barra de direcciones y sea dirigido a una página web fraudulenta. En el primer supuesto, lo usual es que la página fraudulenta figure al comienzo de los resultados de búsqueda -que es donde normalmente se posicionan las páginas auténticas- y que esa misma circunstancia lleve a que la víctima elija dicha página entre todos los resultados arrojados. En el segundo supuesto, en cambio, puede que aparezca directamente la página web fraudulenta, o bien, que se abra una ventana en el navegador del usuario con la página falsa. Al igual que el phishing, el pharming también ha ido cambiando e incorporado nuevas modalidades, como la instalación de malware con la sola visita de la página web fraudulenta de que se trate139.
Muchas veces el phishing y el pharming se presentan unidos, por ejemplo, cuando se envía a la víctima un correo spam, que contiene un link, y se la conduce a una página web que emula la del banco respectivo140. Además, el empleo de un malware puede provocar que el phishing y el pharming se confundan en la práctica, v. gr., si el software malicioso se utiliza para imitar una página web, a la que es dirigida la víctima, y desde la que se obtienen sus datos personales y bancarios. Por lo mismo, las medidas informativas y preventivas de las entidades bancarias suelen referirse a ambos supuestos, conjuntamente141.
En cuanto a su relevancia práctica, el fraude informático, en el sentido amplio indicado supra, es considerado el protagonista absoluto de la cibercriminalidad142. En esa línea, se sostiene que el interés por los delitos informáticos comienza a partir de la comisión de fraudes informáticos en el ámbito de las transferencias electrónicas de fondos, hace cerca de tres décadas143. Desde entonces, el fraude informático ha seguido siendo el centro del cibercrimen, fundamentalmente debido a la frecuencia práctica que caracteriza su comisión144, la que a su vez se ve favorecida por el auge que ha experimentado el comercio electrónico en los últimos años145. En ese orden de ideas, existen estadísticas alemanas del año 2014 que, entre los delitos informáticos en sentido estricto más comunes, ubican a los fraudes informáticos en primer lugar (22.362 casos), seguidos por supuestos de espionaje e interceptación de datos (11.887 casos), de falsificación de datos que pueden utilizarse como evidencia y engaños en el tráfico jurídico en el procesamiento de datos (8.009 casos), así como de alteración de datos y sabotaje computacional (5.667 casos)146. Lo mismo ocurre con estadísticas españolas -también del 2014- que, entre los delitos informáticos en sentido estricto más frecuentes, sitúan al fraude informático (32.842 casos), seguido de lejos por comportamientos como el acceso e interceptación ilícita (1.851 casos)147.
En términos generales, los fraudes informáticos causan perjuicios económicos que, analizados aisladamente, integran la pequeña y mediana criminalidad148, pero que si se examinan desde un punto de vista global pueden suponer mermas patrimoniales de relevancia149. De ahí que se les considere, por algunos autores, como parte de la criminalidad económica150. Asimismo, la doctrina destaca que la realización con éxito de uno de estos ilícitos incidiría en las probabilidades de repetición de fraudes informáticos, “incluso en múltiples ocasiones”151.
4. Contextos de comisión de los delitos informáticos
El acceso a internet para la comisión de delitos informáticos puede verificarse, físicamente, desde distintos lugares, que confieren diversas ventajas a quien los lleva a cabo. Entre ellos se incluyen espacios en los que el agente puede operar cómoda y subrepticiamente, como su lugar de residencia152; o en los que el costo de conexión es reducido -por ejemplo, un cibercafé153- o incluso inexistente, v. gr., un hot-spot gratuito o la empresa en la que trabaja el hechor154. No obstante, gracias a la masificación de los smartphones y tablets con conexión a internet, puede que muchos autores lleven a cabo delitos informáticos desde dichos dispositivos y que, a su turno, éstos se conviertan en objetivo de delitos informáticos155. Con ello, el lugar físico desde donde se accede a la red deja de ser estático y pasa a ser completamente móvil y adaptable a las diversas actividades que realiza el agente.
Si bien un delito informático puede llevarse a cabo desde cualquier país, la doctrina ya ha identificado zonas geográficas que aglutinarían un mayor número de autores de dichos comportamientos. Aunque las cifras exactas en esta materia todavía no se han esclarecido, se estima que Rusia y los países de Europa del Este concentrarían un importante número de hackers dedicados a la comisión de diversos delitos informáticos; que una proporción relevante de los sistemas informáticos que operan desde China, estarían relacionados con ataques con malware o software maliciosos; mientras que la mayoría de los equipos con los que se cometen conductas de phishing se ubicarían en los Estados Unidos156.
En principio, todos los ámbitos en los que se emplean sistemas informáticos pueden ser contextos de comisión de delitos informáticos. Por consiguiente, es posible que tales ilícitos se verifiquen cuando los sistemas informáticos se utilizan a nivel doméstico, en el ámbito laboral, así como en la ejecución de servicios u operaciones de distinta envergadura. En un plano más específico, la doctrina destaca entre dichos contextos de comisión, particularmente, a aquellos que implican transacciones patrimoniales y, de forma más reciente, las redes sociales, los sistemas de mensajería instantánea, entre otros157.
Tratándose de delitos informáticos llevados a cabo a través de internet, su contexto general de comisión es, precisamente, la red. Ello implica un cambio de paradigma158, pues se pasa de un delito cometido dentro de las fronteras de un país específico, a un (ciber)delito cometido desde cualquier lugar159 o -si se quiere- en todos los lugares en los que exista acceso a internet. En la misma línea, el “ambiente virtual” es caracterizado como un contexto en el que los individuos están siempre a “un clic de distancia”; razón por la que las coordenadas geográficas, que suelen operar como una barrera para la interacción entre las personas, simplemente desaparecen160. Desde un punto de vista más general, ese cambio de paradigma puede constatarse en la irrelevancia que pasa a tener, respecto del cibercrimen, la distinción tradicional entre la conservación del orden interno, que se ve afectado por el crimen, y la preservación del orden externo, que se ve alterado por la guerra161. Pues bien, justamente dicha característica de la delincuencia informática provoca que muchas teorías criminológicas, centradas en una confluencia de ofensores y víctimas en tiempo y espacio, pierdan relevancia cuando se trata de analizar este sector de la criminalidad162.
En cuanto al tiempo de ejecución de los ciberdelitos, internet es un contexto delictivo que opera las 24 horas del día, los 7 días de la semana163; si bien se reconoce que es posible identificar momentos de mayor tráfico en la red, que den lugar a una mayor confluencia entre ofensores y víctimas, y puedan ser predictivos de mayores niveles de victimización164. Como sea, si la perpetración de delitos informáticos supone muchas veces detectar vulnerabilidades en los sistemas informáticos de las potenciales víctimas, el agente de los mismos puede intentar descubrirlos en cualquier momento. Por una parte, el peak de tráfico de un determinado país puede abarcar (prácticamente) todo el tiempo en que una persona está despierta, extendiéndose tanto a sus horas en el trabajo como en la casa165. Por otra parte, en los momentos en que éste decae, por razones de horario, el agente del comportamiento puede procurar la detección de vulnerabilidades respecto de sistemas informáticos ubicados en otras zonas geográficas.
En lo que respecta al lugar de comisión de los ciberdelitos, éstos son ejecutados en el “ciberespacio”, o sea, en “una red globalmente interconectada de información digital e infraestructuras de las comunicaciones”166, concepto que normalmente se identifica con internet y, más ampliamente, con las redes computacionales167. Sobre esa base, hay autores que estiman que los ciberdelitos son cometidos en “no-lugares” o, más que en un “lugar”, en un “ciberescenario”168. Asimismo, el término “ciberespacio” puede emplearse como sinónimo de “espacio virtual”, en oposición a “espacio físico”169. En realidad, ambos espacios están estrechamente vinculados en diversos aspectos170. Así, por ejemplo, muchas actividades que pueden llevarse a cabo en el espacio físico (v. gr., las comunicaciones, los negocios o los servicios), también pueden ejecutarse en el espacio virtual. En ese sentido, es posible plantear la existencia de un espacio virtual que replica lo que ocurre en el espacio físico.
Con todo, desde el punto de vista de los comportamientos que se verifican en internet, pueden apuntarse algunas diferencias relevantes en relación con aquellos que se llevan a cabo fuera de la red. Por una parte, en internet no es posible cometer delitos que involucren un contacto directo con la víctima171, uno de cuyos casos paradigmáticos es el delito de violación172. Por otra parte, en internet interactúan muchísimas personas sin que exista ese contacto directo, lo que puede incidir en las medidas de autoprotección del ofendido por el delito173, así como en las probabilidades de comisión y posterior descubrimiento de un determinado ilícito174.
Internet, además de ser considerada la “red de redes”175, es caracterizada como una autopista de la información176, idea que puede hacerse extensiva, en términos generales, a las redes computacionales. De un lado, se trata de una autopista con diversos carriles, que constituyen distintos ámbitos de interconexión (social, económica, administrativa, entre otros), en los que confluyen tanto potenciales víctimas como potenciales agentes de conductas delictivas177. De otro lado, cada uno de dichos ámbitos de interconexión plantea el surgimiento de diversos riesgos178 para quienes se benefician, ya sea directa o indirectamente, con el uso de redes computacionales.
La doctrina tiende a coincidir en torno a la manera en que actualmente se encuentra configurada la red. Internet no cuenta con una administración centralizada179 y organizada jerárquicamente180. En ella no existe algo equivalente a los diversos poderes del Estado ni al ius puniendi estatal, al menos no, según la comprensión tradicional de dichos conceptos. Sobre esa base se dice que internet poseería una estructura anárquica181, caracterizada por “la ausencia de regulación jurídica y, por tanto, de límites y de control”182. Más allá de la efectividad de esta última apreciación, regular las actividades que se desarrollan a través de internet constituye, efectivamente, un foco de grandes dificultades183.
En primer lugar, no es para nada sencillo controlar un flujo de enormes cantidades de información184, cuyo almacenamiento, tratamiento o transferencia no son delictivos en todos los Estados. En este ámbito, los proveedores de servicios de internet y los servidores de web, que son quienes mediatizan y hacen posible la vinculación entre el autor de un ciberdelito y su víctima185, pueden jugar un papel de relevancia. Sin embargo, respecto de su control de la información que circula por la red surgen diversas interrogantes. En un plano normativo, el Estado puede verse tentado a exigirles dicho control, tanto por la posición privilegiada en la que se encuentran para detectar, evitar y acreditar la comisión de conductas delictivas,186 como por lo sencillo que resulta responsabilizarlos a ellos, en comparación con “la masa de usuarios distribuidos y muchas veces anónimos”187. No obstante, no es claro el nivel de facultades con las que cuentan dichos intermediarios para vigilar comportamientos realizados en internet, ni si se hallan en condiciones de valorar adecuadamente el sentido y alcance de los mismos. Además, no debe perderse de vista que los intermediarios de internet constituyen empresas privadas y que convertirlos en una suerte de “policía de internet”188 puede generar una serie de problemas. En un plano más técnico, tampoco es evidente que dichos intermediarios estén en condiciones de evitar, en todo caso, la comisión de ciertas conductas (delictivas), sin afectar, al mismo tiempo, un almacenamiento, tratamiento y traspaso de datos no delictivo a través de la red189.
En segundo lugar, el control mismo de la información por parte de agencias estatales puede suponer una vulneración de derechos fundamentales de las personas, lo que plantea la necesidad de adoptar medidas que sean transmitidas a los usuarios190 y que, en ningún caso, impliquen una afectación de bienes jurídicos mayor de la que se pretende evitar. Al igual que en otros contextos delictivos, la regulación de todas y cada una de las actividades que se llevan a cabo en la red no es practicable ni deseable191, ya que constituiría una seria amenaza para la libertad de las comunicaciones192. Por su parte, las restricciones a comportamientos específicos que se realizan a través de internet se han generado de forma aislada, sin que opere una clara coordinación entre (todos) los Estados. La creación de instrumentos internacionales en esta materia ha demostrado la voluntad de algunos países por modificar este estado de cosas, sin embargo, se trata de iniciativas (todavía) insuficientes y sumamente difíciles de articular, en atención a las variables técnicas, culturales, jurídicas y hasta geopolíticas involucradas193.
5. Sujetos de los delitos informáticos: autores y víctimas
Desde el punto de vista de los sujetos cuya conducta es necesaria y explicaría la comisión de delitos informáticos, la doctrina destaca la conjunción de tres factores generales a considerar: primero, la existencia de autores motivados para ejecutarlos; segundo, la disponibilidad de objetivos (o víctimas) adecuados para llevarlos a cabo; y, tercero, la ausencia de guardianes o mecanismos de autoprotección idóneos para controlar su comisión194. Dichos factores generales deben ser interpretados a la luz del contexto de comisión de los delitos informáticos, así como complementados con otros, que nos permitan definir las características fundamentales de quienes llevan a cabo delitos informáticos, quiénes los sufren, y qué elementos pueden estar incidiendo en su comisión, denuncia y condena.
5.1. Autores de delitos informáticos
Los autores de delitos informáticos pueden ser sujetos de muy variado perfil, lo que se vincula con la diversidad de conductas ilícitas que pueden llevar a cabo. Entre los factores que pueden ser relevantes para analizar a los autores de tales delitos cabe considerar, entre otros, su motivación, edad y género, conocimientos técnicos, medios económicos, organización y relación con la víctima.
Son múltiples las motivaciones que puede llegar a tener el autor de un delito informático, no obstante, en general coinciden con las motivaciones de los autores de otra clase de delitos195. La doctrina destaca que la motivación de los primeros hackers fue simplemente descubrir las vulnerabilidades de un sistema informático196. En esta etapa, el hacker entiende el acceso (indebido) a datos o programas como un desafío personal197, e incluso como una fuente de diversión198. Si se consideran los tres grupos de comportamientos que suelen estar a la base de los delitos informáticos (sabotaje, espionaje o fraude informático), podría sostenerse que, en principio, con dichos delitos se busca causar daño (sabotaje), obtener información (espionaje), o lograr un lucro económico (fraude)199. En los hechos, la vinculación entre conducta y motivación no siempre es tan lineal y suele mostrar una preeminencia del móvil de lucro por sobre otras motivaciones200. El ánimo de lucro está directamente relacionado con el concepto de fraude informático201, pero también es posible plantear casos de espionaje informático (v. gr., industrial202), e incluso de sabotaje informático (por ejemplo, a potenciales compradores de programas antivirus203 o a competidores dentro del mismo mercado204), que sean cometidos con dicho ánimo. Asimismo, existen delitos informáticos que se llevan a cabo para provocar daño, por ejemplo, en venganza de un exempleador205. En fin, algunos delitos informáticos se ejecutarían por móviles políticos206, más o menos difusos207, así como para intimidar o aterrorizar a (determinados sectores de) la población208.
En lo que respecta a la edad de los autores de delitos informáticos, un importante número de estos delitos son cometidos por personas relativamente jóvenes209 en relación con la edad de los agentes de otros comportamientos delictivos, lo que obedece a distintas razones. Quizás la más evidente es que las generaciones jóvenes están integradas por “nativos digitales”210, esto es, personas que han nacido en la era de internet y que comienzan a utilizar las TIC a muy temprana edad. A ello se agrega que las personas más jóvenes tienen mayor disponibilidad de tiempo para buscar y detectar vulnerabilidades en sistemas informáticos ajenos211. Ahora bien, en la medida en que los que actualmente se consideran “nativos digitales” envejezcan, es posible que aumente la edad promedio de los autores de delitos informáticos. Como sea, la doctrina destaca casos de adolescentes, que incluso actuando solos, han desactivado sistemas de control de tráfico aéreo, bloqueado a los principales retailers del comercio electrónico o manipulado las operaciones de la bolsa de valores electrónica Nasdaq212.
En términos generales, el factor de género suele ser poco estudiado dentro del perfil del delincuente informático. Si se consideran los casos fallados en Chile, se constatará que existe un importante número de delitos informáticos llevados a cabo por hombres213. Esta información coincide con la proporcionada por estudios criminológicos extranjeros, que plantean un predominio de autores (jóvenes) de sexo masculino214. En ese sentido, en un estudio relativamente reciente realizado en los Países Bajos, se concluyó que entre el porcentaje de sospechosos de ejecutar comportamientos constitutivos de fraude informático un 73,4% correspondía a hombres, mientras que un 26,6% a mujeres215. Por su parte, la intervención comparativamente menor en frecuencia que tienen las mujeres en esta clase de conductas tiende a verificarse en grupos, con predominio de varones, y suponer comportamientos correspondientes tanto a autoría como a complicidad216.
En cuanto a los conocimientos técnicos que el autor de un delito informático requiere para cometerlo, la doctrina destaca que existe un gran abanico de posibilidades, si bien se requiere una mínima preparación en materia de informática217. En un extremo está el experto en informática, cuyos conocimientos son necesarios si, por ejemplo, de lo que se trata es de destruir o espiar datos o programas especialmente protegidos. En el otro extremo se hallan quienes, no obstante operar a un nivel relativamente básico218, están del todo familiarizados con las TIC, al punto que su falta de dominio teórico termina compensada por el uso cotidiano de computadoras e internet. Probablemente, la mayoría de los autores de delitos informáticos se ubican en un punto intermedio, en el que la experiencia en materia informática no proviene necesariamente de estudios formales219 y se va adquiriendo con la comisión de delitos, así como en relación con el saber necesario para ejecutarlos. Más aún, en caso que la comisión de un delito concreto suponga conocimientos con los que no cuenta el potencial autor del mismo, internet le ofrece un acceso fácil a individuos que le indicarán cómo llevarlo a cabo220. En todo caso, mientras mayor preparación técnica requiera la ejecución de un delito informático, más reducido será el círculo de potenciales autores que pueden llevarlo a cabo y más complejo resultará contar con personal preparado para investigarlo221. En relación con este último punto, es posible que las dificultades técnicas en la investigación de ciertos hechos impidan o desincentiven su persecución, sobre todo cuando se trata de delitos que, individualmente considerados, ocasionan daños de escasa entidad. Al mismo tiempo, puede que las dificultades técnicas en la pesquisa de ciertos hechos lleven a que se recurra a los propios hackers para investigar determinados delitos informáticos222.
Desde el punto de vista de los recursos económicos con los que cuentan los autores de delitos informáticos, resulta necesario distinguir entre los medios financieros que éstosefectivamente tienen, y los recursos económicos que requieren para cometer un delito informático. De un lado, la doctrina estadounidense destaca que los autores de delitos informáticos corresponden a personas provenientes de las clases media y media-acomodada, que además cuentan con buenos niveles de educación223. Precisamente, dicha circunstancia dificultaría una aplicación, en este ámbito, de muchas teorías criminológicas, que tradicionalmente se han centrado en autores provenientes de las clases pobres y con bajos niveles educativos224. De otro lado, no es necesario que tales ilícitos sean cometidos por personas con grandes recursos económicos, pues los cada vez más reducidos costos de conexión a la red225 permiten que casi cualquier individuo pueda llevarlos a cabo. Mientras que en décadas pasadas el uso de sistemas informáticos se hallaba limitado fundamentalmente a agencias estatales, a instituciones financieras o científicas226, en la actualidad prácticamente cualquier persona puede acceder a ellos227, con lo que aumenta el abanico de potenciales autores228. Además, gracias a los costos relativamente reducidos de las tecnologías de última generación, muchos agentes pueden beneficiarse de ellas para la comisión de ilícitos229. Dichas circunstancias, sumadas a los conocimientos técnicos relativamente bajos que, en general, requiere el autor de un delito informático, provocan que tales ilícitos se ejecuten fácilmente y con escasos recursos en relación con el perjuicio (global) que causan230.
En lo que atañe a la organización de quienes cometen delitos informáticos, también es posible plantear la existencia de diversos grados de organización, dependientes de la clase de delito que se pretende llevar a cabo. En ese sentido, mientras que muchos delitos informáticos requieren un alto grado de organización, la evidencia empírica es, sin embargo, insuficiente como para afirmar que la cibercriminalidad informática se encuentra dominada por grupos organizados o que dichos grupos tendrían tal o cual forma o estructura231. Ahora bien, el nivel de organización debe considerar variables cuantitativas (número de sujetos que coordinan las actividades) y cualitativas (grado de complejidad en la coordinación de las actividades). En un extremo se ubica el sujeto que actúa solo232, y que eventualmente recurre a la colaboración de terceros para preparar ciertos aspectos de su actividad delictiva; o bien, se vale de una botnet233, con lo que amplía considerablemente el alcance de las conductas que realiza en solitario234. En el otro extremo se hallan las denominadas “mafias organizadas de cibercriminales”235. En relación con este último punto, puede que el nivel de coordinación y estructuración de ciertas agrupaciones dedicadas a la criminalidad informática derive en la existencia de tales organizaciones, o bien, que organizaciones criminales dedicadas a otra clase de ilícitos aprovechen las ventajas que ofrecen las nuevas tecnologías236 y, en su caso, adapten o amplíen su actuar respecto de la delincuencia informática237. En ese sentido, lo novedoso del cibercrimen, en relación con otros ámbitos de la criminalidad, es que internet constituye tanto el contexto de comisión del delito como el ámbito en el que se verifica el intercambio de información y la coordinación entre sus autores, por ejemplo, a través de chats238. Como sea, en Chile se advierte un predominio de comportamientos que son ejecutados al menos por dos sujetos, con un nivel de coordinación (más o menos) suficiente como para ejecutar los comportamientos delictivos en cuestión239.
Muchos delitos informáticos son cometidos por agentes que no tienen relación alguna con la víctima, la que representa, para los primeros, un sujeto indeterminado, desconocido y, eventualmente, internacional240. Así acontece, por ejemplo, tratándose de ilícitos informáticos que suponen la detección y el aprovechamiento de las vulnerabilidades de un sistema informático cualquiera. No obstante, un importante número de delitos informáticos son llevados a cabo por trabajadores o prestadores de servicios de la empresa o establecimiento afectado241, también conocidos como “insiders”242. El insider se encuentra en una posición privilegiada, que le permite beneficiarse de una serie de ventajas derivadas de su vínculo con el ofendido por el delito. En ese sentido, puede que debido a la confianza que se le ha brindado o al cargo que ocupa, el insider esté en condiciones de acceder a datos o a sistemas informáticos de acceso restringido243. Asimismo, es posible que el insider permanezca una gran cantidad de horas diarias utilizando dichos sistemas244, y que ello le permita desarrollar un acceso constante y, eventualmente, subrepticio a los datos de la empresa o establecimiento de que se trate.
Identificar al autor de un delito informático resulta complejo por distintas razones. Por un lado, pueden enfrentarse dificultades para descubrir al autor de un ciberdelito vinculadas con las posibilidades que internet ofrece de permanecer en el anonimato245 y de no dejar huellas de las actividades realizadas en la red246. En esa línea, de acuerdo con lo indicado supra, muchos autores de fraudes informáticos recurren a intermediarios (o “mulas”), en cuyas cuentas ingresan las sumas defraudadas, las que luego son transferidas a otras cuentas ubicadas en el mismo o en otro país247. Además, el agente de tales delitos no necesita recurrir a un computador ajeno para evitar que se lo asocie a la comisión de un comportamiento, ya que puede valerse de las denominadas direcciones IP dinámicas248, o bien, manipular la dirección IP asignada249. En ese sentido, al no existir claridad acerca del lugar en que se cometió un ciberdelito, se entorpece considerablemente el descubrimiento de sus hechores. Por otro lado, pueden enfrentarse dificultades para identificar a los autores de delitos informáticos, vinculadas con la producción y valoración de las pruebas en el proceso penal250. En este contexto, la posibilidad de encriptar información251, sumada a la naturaleza volátil de los datos informáticos, hace necesaria la existencia de una técnica forense sofisticada, que asegure su recuperación, preservación y presentación (válida) ante los Tribunales252. Además, pese a que en los últimos años se ha desarrollado tecnología para la obtención y el examen de pruebas para el proceso penal (v. gr., respecto de datos almacenados en teléfonos móviles decomisados y de conexiones a internet llevadas a cabo a través de los mismos)253, su uso está lejos de ser generalizado.
En relación, específicamente, con las opciones que internet ofrece de permanecer en el anonimato, la doctrina se pregunta hasta qué punto estamos ante un factor que realmente dificulta la identificación del autor de un ciberdelito. En esa línea, hay quienes plantean que a pesar del aparente anonimato, los autores de tales ilícitos dejan muchos más rastros de sus actividades de lo que generalmente se piensa254. Asimismo, un sector de la doctrina se cuestiona si nos hallamos ante una mera creencia255 o expectativa de anonimato256, que generaría en los autores la idea de que no podrán ser descubiertos ni responsabilizados por los delitos cometidos en la red257, lo que a su turno podría incidir en que aumenten las probabilidades de que se animen a ejecutarlos258. Ahora bien, al igual como ocurre en otros ámbitos de la criminalidad, serán los delincuentes más sofisticados -y, eventualmente, los dispuestos a cometer delitos con efectos más lesivos- quienes, las más de las veces, lograrán “enmascarar su verdadera identidad mediante una gran variedad de técnicas”259.
5.2. Víctimas de delitos informáticos
En principio, cualquiera que opere con computadoras puede ser víctima de un delito informático260 y cualquiera que utilice internet puede ser víctima de un ciberdelito261. Respecto de este último punto, la doctrina destaca que el uso de internet permite un acceso expedito e ilimitado a potenciales víctimas de dichos comportamientos262. Ese acceso a potenciales víctimas puede incrementarse a través de una masificación todavía mayor del uso de las TIC, incluyendo internet; así como del empleo de determinadas plataformas de comunicación entre los usuarios para el intercambio de mensajes, de fotografías, entre otros263. En relación con el uso de internet, en el caso chileno, el número de accesos a la red había superado los 13 millones hacia fines del 2015264. A nivel mundial, en cambio, para el año 2014 se contabilizaron casi 3 billones de accesos, liderados por Asia y seguidos por Europa265, cifra que ha llevado a plantear que las probabilidades de que un ciudadano de dichas zonas geográficas sea víctima de un ciberdelito es mayor que en el resto del mundo266. Además, el acceso a potenciales víctimas puede incrementarse mediante el uso de sistemas informáticos por parte de individuos de todas las edades, ya que, si bien muchas personas mayores de sesenta años todavía no están familiarizadas con el uso de las tecnologías, dicha circunstancia irá cambiando en la medida en que las actuales generaciones envejezcan.
En lo que respecta a la edad y al género de las víctimas de delitos informáticos, el año 2014 España publicó estadísticas, de acuerdo con las cuales, en la comisión de las diversas infracciones penales relacionadas con la cibercriminalidad existe una prevalencia de víctimas que tienen entre 26 y 40 años de edad267. En cambio, a principios de 2016 el Reino Unido publicó estadísticas que indican una mayor probabilidad de que personas entre 40 y 49 años sean víctimas de delitos informáticos268. Por su parte, si se analizan comportamientos específicos, integrantes de la delincuencia informática en sentido estricto, como el fraude informático, se advierte, según las estadísticas españolas antes referidas, una mayor existencia de víctimas de sexo masculino (14.067 hombres, correspondientes al 59% del total de víctimas), en comparación con las de sexo femenino (9.594 mujeres, correspondientes al 41% del total de víctimas)269. Las cifras del Reino Unido, si bien no arrojan la misma información que en el caso de España, señalan que las víctimas de los delitos informáticos suelen ser hombres y que éstos experimentan tres veces más pérdidas económicas que las mujeres producto de la comisión de dichos ilícitos270.
Las hipótesis de sabotaje informático pueden tener como potenciales víctimas a personas naturales y jurídicas, pero es posible que generen efectos particularmente lesivos tratándose de entidades privadas o públicas que almacenan información sensible o cuya afectación pueda incidir en muchas otras personas. Precisamente dicha circunstancia puede provocar que tales entidades se conviertan en blancos interesantes para quienes quieren generar daños de gran magnitud. Igualmente, es posible que los supuestos de espionaje informático se dirijan a personas naturales y jurídicas, aunque para acceder u obtener datos de diversa índole (v. gr., información íntima o privada tratándose de personas naturales; información económicamente valiosa en el caso de las empresas; información estratégica tratándose del Estado; etc.). En fin, puede que los casos de fraude informático afecten indistintamente a personas naturales y jurídicas, pues, en definitiva, unas y otras tienen recursos económicos que podrían llegar a ser perjudicados. Tratándose de personas naturales, a pesar de que las sumas a defraudar generalmente no son tan elevadas como en el caso de las personas jurídicas, las probabilidades de convertirlas en víctimas de un phishing y un posterior fraude, debido a la forma de comisión de dichos comportamientos, deberían ser comparativamente más altas. A la inversa, las personas jurídicas pueden ser más atractivas como potenciales víctimas de un fraude informático, en atención a los flujos de dinero que administran, pero normalmente cuentan con mayores mecanismos de autoprotección frente a la ejecución de delitos informáticos271.
En una situación particular se encuentra el Estado, pues si bien puede ser considerado fundamentalmente víctima de delitos informáticos, también es posible que sea autor de ciertos comportamientos, por ejemplo, cuando monitorea indebidamente sistemas informáticos de terceros272 y afecta con ello derechos garantizados constitucionalmente. Algo parecido puede decirse de la vigilancia que efectúa el empleador ante la sospecha de que alguno de sus trabajadores ha realizado un comportamiento delictivo a través de redes computacionales273.
Que la víctima de un delito informático sea un sujeto indeterminado o un objetivo específico al que se dirige el comportamiento, depende de la conducta que se realice. En términos generales -como acontece respecto de muchos otros delitos-, la identidad de la víctima es secundaria para la ejecución de un delito informático. En ese sentido, el autor más bien está pendiente de descubrir vulnerabilidades en un sistema informático cualquiera o en un determinado sistema informático, mediante el que pueda llegar a afectar a cualquier individuo. No obstante, también existen delitos informáticos que se dirigen específicamente en contra de determinadas víctimas, como ocurre cuando se ejecuta un sabotaje informático por motivos políticos o cuando se efectúa un espionaje informático respecto de informaciones de titularidad de un concreto individuo.
La denuncia de la víctima de un delito informático puede enfrentar diversos obstáculos. De un lado, es posible que algunas personas ignoren o no tengan conciencia de haber sido afectadas por un delito informático274, o que se sientan avergonzadas en reconocer que fueron víctimas de tales ilícitos275. De otro lado, tratándose de empresas que son víctimas, es posible que la denuncia sea evitada a fin de no incidir negativamente en su imagen corporativa276, con la consiguiente pérdida de confianza de sus clientes277, o de no aumentar el riesgo de sufrir ulteriores ataques, por ejemplo, ante la publicitación de las vulnerabilidades del sistema278. En fin, puede que no exista denuncia -y posterior persecución de un delito informático- debido a la falta de contacto directo entre autor y víctima, que le impida a la segunda reconocer quién fue el agente del comportamiento delictivo279. O que, en relación con este último punto, la víctima prefiera no denunciar el hecho ante su conocimiento de las limitaciones que enfrentan los operadores del sistema para descubrir y sancionar esta clase de ilícitos280, o bien, por estimar que se trata de hechos que no revisten la suficiente gravedad como para merecer la atención de las policías281. Como sea, las dificultades que pueden subyacer tanto a la denuncia de los delitos como a la identificación de los autores de los mismos, contribuyen a un aumento de la denominada “cifra negra”282 en materia de criminalidad informática. Ésta, si bien existe respecto de todos los ámbitos de la criminalidad, aumenta, entre otras razones, a medida en que más complejos se tornan la investigación y el esclarecimiento de un determinado grupo de ilícitos.
La doctrina tiende a coincidir en el importante papel que juega la víctima en la prevención de delitos informáticos. En esa línea, se cree que los riesgos que involucra el uso de internet pueden ser disminuidos, fundamentalmente, con la adopción de medidas técnicas de autoprotección y con la instrucción de las potenciales víctimas de ciberdelitos283. Muchos delitos informáticos suponen hallar y aprovechar vulnerabilidades de los sistemas informáticos, las que a su turno pueden tener diversas causas, v. gr., una programación deficiente, un cambio tecnológico o un uso de puertas que pueden haberse dejado abiertas284. Por consiguiente, en la medida en que las potenciales víctimas adopten medidas de autoprotección285, y disminuyan las vulnerabilidades de los sistemas informáticos, se reducirán también las probabilidades de que otros accedan a ellos y puedan cometer alguna clase de comportamiento ilícito. Asimismo, se estima que el reporte que pueden entregar los propios usuarios de la web (por ejemplo, relativo a la existencia de páginas sospechosas286) puede resultar relevante para la prevención de futuros delitos informáticos287. A partir de dichos reportes, en ocasiones se crean listados de páginas sospechosas, destinados a informar a la ciudadanía y a evitar su visita durante la navegación. En fin, también reviste importancia la constatación que efectúan instituciones financieras respecto de transacciones sospechosas, o bien, aquella que realizan administradores de sistemas en relación con posibles intrusos en redes computacionales288.
6. Consecuencias de los delitos informáticos
En lo que atañe a las víctimas de delitos informáticos, es posible distinguir entre consecuencias inmediatas y (más o menos) mediatas de la cibercriminalidad. En ese orden de ideas, los delitos de sabotaje, espionaje y fraude informático tienen una incidencia en diversos intereses de titularidad de la víctima, que se verán afectados según el comportamiento delictivo que se cometa. Tratándose de víctimas que son personas naturales, dichos intereses se identificarán, por lo general, con su intimidad o privacidad, o bien con su patrimonio. En el caso de víctimas que son empresas, dichos delitos afectarán, fundamentalmente, intereses patrimoniales. En fin, cuando los delitos informáticos incidan en el funcionamiento del aparato público, se afectarán los diversos ámbitos de actuación en los que interviene el Estado, con la consiguiente afectación de la ciudadanía que (directa o indirectamente) se beneficia de la actividad estatal. Además, tratándose de comportamientos que se cometen a través de internet o del uso de redes computacionales, los delitos informáticos pueden tener consecuencias sobre la funcionalidad de los sistemas informáticos, o sea, sobre aquel conjunto de condiciones que posibilitan que dichos sistemas realicen adecuadamente las operaciones de almacenamiento, tratamiento y transferencia de datos, dentro de un marco tolerable de riesgo.
En un plano más específico, se estima que los delitos informáticos pueden tener importantes consecuencias en la productividad y en la economía de diversas entidades289. Ciertamente, tales consecuencias pueden medirse en cuanto a su impacto, e ir desde comportamientos más o menos inocuos para la entidad de que se trate (v. gr., envío de correos basura o spam), hasta conductas de efectos muy lesivos (por ejemplo, destrucción de información de gran valor económico u obtención indebida de la misma; paralización del tráfico de información entre la entidad afectada y terceros; entre otros). Asimismo, según la gravedad de las consecuencias que un delito informático tenga para dicha entidad, es posible que los efectos de la conducta se proyecten hacia terceros (v. gr., a los clientes de una determinada empresa, a los beneficiarios del servicio prestado, etc.).
A su vez, puede que la afectación de bienes jurídicos que conlleva la comisión de delitos informáticos (como la privacidad o intimidad, el patrimonio, etc.) provoque que la víctima o personas de su entorno adopten medidas de autoprotección (por ejemplo, el uso de filtros anticorreos basura o spam290; la instalación de antivirus o cortafuegos291; la actualización regular de programas292; la encriptación de datos, así como la introducción de mecanismos de autenticación para el acceso a datos o sistemas informáticos293; la creación de copias de seguridad; entre otros). Igualmente, es posible que quienes sean más o menos conscientes de ser potenciales víctimas de delitos informáticos, introduzcan cambios en su forma de relacionarse con internet y con los diversos ámbitos de interconexión que ofrece la red, y decidan omitir o realizar con menor frecuencia actividades que consideran riesgosas (como almacenar información sensible en una nube, realizar transferencias bancarias o compras a través de internet, etc.), o bien, disminuyan la cantidad de tiempo que se conectan a la red294. Tales modificaciones de los hábitos de navegación y actuación de los usuarios de internet afectan a los prestadores de los servicios que se estiman riesgosos295, y a las diversas actividades que se benefician con el uso de dichos servicios.
En cuanto a la comisión de delitos informáticos respecto de empresas, un estudio estadounidense indica que las más afectadas por comportamientos de phishing son las empresas pequeñas (con menos de 250 trabajadores) y las grandes compañías (con más de 2.500 trabajadores) que, conjuntamente, concentran casi el 70% de los ataques296. Por una parte, las empresas de menor tamaño pueden verse afectadas con dichos comportamientos por una ausencia de medidas idóneas de autoprotección al interior de las mismas. En ese sentido, mientras que las grandes compañías cuentan con administradores de sistemas y una serie de mecanismos (más o menos) sofisticados de protección, basados en el uso de las tecnologías297, las empresas más pequeñas carecen de ellos o sólo los tienen en (muy) escasa medida. En relación con este último punto, se afirma que fuera de los costos económicos directamente involucrados en la comisión de delitos informáticos, existen también grandes gastos asociados a la prevención de tales ilícitos298, lo que dificulta el establecimiento de medidas de autoprotección en firmas de pequeña o mediana envergadura. Por otra parte, las grandes compañías, no obstante estar más protegidas frente a la comisión de delitos informáticos, pueden resultar más atractivas como posibles víctimas, debido a la entidad de los recursos (económicos, tecnológicos, científicos, etc.) con los que cuentan.
La comisión de delitos informáticos también puede tener consecuencias en determinados mercados, que incluso podrían verse beneficiados por la ejecución de ciertos comportamientos delictivos. En ese orden de ideas, se afirma que para el 2015 el gasto mundial en “ciberseguridad” alcanzó aproximadamente los 75 billones de dólares, cifra que se estima llegará a los 170 billones de dólares para el año 2020299. En este creciente mercado se incluyen las empresas de seguridad informática, que comercializan toda clase de programas y aplicaciones anti-malware, o bien, que ofrecen servicios de respaldo de datos. A ellas pueden agregarse los seguros contra fraudes (v. gr., para realizar transferencias bancarias o compras a través de internet), así como las empresas que intermedian el cobro de dinero entre vendedores y compradores en la red, uno de cuyos casos paradigmáticos es Paypal; y algunos sitios de subastas en línea que, a cambio de una comisión, entregan los bienes adjudicados una vez que reciben su precio de parte de los compradores, el que a su turno es transferido desde el sitio de subastas al vendedor del bien de que se trate300.
Probablemente, la ausencia de un contacto directo entre la víctima y el autor de un delito informático explique, en parte, las diferencias en cuanto al temor de ser víctima de dichos ilícitos, respecto de otra clase de delitos. En ese sentido, existe evidencia que indica importantes niveles de temor en la población de ser víctima de ciertos comportamientos delictivos que, muchas veces, no guarda relación con las cifras reales de victimización301, por ejemplo, en materia de robos302. Pues bien, tratándose de delitos informáticos se daría, en general, un efecto contrario.
Por una parte, se estima que respecto de un importante número de usuarios de internet existiría un desfase “entre la amenaza a la que están expuestos (…) y la percepción de inseguridad que suscita esa amenaza”303. De un lado, el uso extendido de las TIC y, en especial, de internet, para transferir fondos o almacenar información sensible, incrementaría las probabilidades de ser víctima de delito en esos contextos304. De otro lado, las potenciales víctimas desarrollarían una percepción limitada del riesgo305 y tenderían a no tomar mayores medidas de autoprotección306, sobre todo si se las compara con las que se adoptan respecto de otros delitos307. Más aún, se cree que, por lo general, las potenciales víctimas de delitos informáticos se sentirían (más o menos) invulnerables y actuarían de manera arriesgada o despreocupada ante la cibercriminalidad, lo que podría aumentar las probabilidades de que se conviertan en objetivos de ella308. Dicha circunstancia podría verse favorecida si la información relativa a los riesgos de ser víctima de delitos informáticos es limitada o derechamente errónea309.
Por otra parte, se destaca que algunos usuarios de internet tendrían un miedo desmedido a ser víctimas del cibercrimen, “al que se sobredimensiona no tanto en lo cuantitativo sino en lo cualitativo, como una amenaza desconocida y más allá de lo real”310. Tal temor puede verse alimentado por diversos actores sociales, a quienes el miedo frente a ciertas amenazas -sea existentes o imaginarias- puede ser útil, por distintas razones (por ejemplo, los medios de comunicación, los legisladores, las empresas de seguridad informática, etc.). Frente a ello, resulta indispensable que la evaluación de los riesgos de ser víctima de delitos informáticos se efectúe a partir de la evidencia y no de las simples percepciones sobre la comisión de determinadas conductas, a fin de que no se subestime, pero tampoco se exagere, la situación de vulnerabilidad real en la que se hallan las potenciales víctimas. En ese sentido, más que fomentar el pánico respecto del cibercrimen, de lo que se trata es de sensibilizar oportunamente a la sociedad en relación con los riesgos que efectivamente conlleva el uso de las modernas tecnologías311.
