martes, junio 17, 2008

PROYECTO DE LEY DELITOS INFORMÁTICOS

Congreso de Colombia

Proyectos de Ley 042 y 123 de 2007 Cámara

H.R. Carlos Arturo Piedrahita C

H.R. Germán Varón Cotrino

PONENCIA PRIMER DEBATE PROYECTO DE LEY No. 042/07 y 123/07 CÁMARA.

“POR MEDIO DEL CUAL SE MODIFICA EL CÓDIGO PENAL (LEY 599 DE 2000), SE CREA UN NUEVO BIEN JURÍDICO TUTELADO - DENOMINADO “LA PROTECCIÓN DE LA INFORMACIÓN” - Y SE PRESERVAN INTEGRALMENTE LOS SISTEMAS QUE UTILICEN LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES, ENTRE OTRAS DISPOSICIONES”

Honorable Representante

JORGE HUMBERTO MANTILLA SERRANO

Presidente

Comisión Primera de la Cámara

Ref: Ponencia Primer Debate Cámara.

Teniendo en cuenta que se ha considerado conciliar el Proyecto de Ley No. 042 de 2007, presentado por el Honorable Representante Dr. Germán Varón Cotrino “Por la cual se modifican y adicionan algunas normas de la ley 599 de 2000, Código Penal Colombiano” y el nuestro el No.123 de 2007, radicado por el Honorable Senador Dr. Luis Humberto Gómez Gallo y el suscrito Representante “Por medio del cual se modifica el Código Penal (Ley 599 de 2000), se crea un nuevo bien jurídico tutelado - denominado “la protección de la información” - y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”, correspondiéndome el honor de la ponencia ante esta Honorable Comisión, tengo el gusto de ofrecer los siguientes argumentos, en espera de lograr el consenso general sobre las modificaciones de los dos proyectos para convertirlo en uno solo y en consideración a tan honrosa designación en el presente proyecto de Ley, rendimos ponencia para primer debate en Cámara, bajo los siguientes términos:

I. JUSTIFICACIÓN DE LA INICIATIVA:

El proyecto de ley No. 123 de 2007 Cámara, fue radicado por el Honorable Senador Luis Humberto Gómez Gallo y el suscrito Representante a la Cámara, el cual su legislatura llama hoy la atención de la Honorable Comisión Primera de la Cámara de Representantes; obra cuya creación corresponde al Juez Segundo Promiscuo Municipal de Rovira Alexander Díaz García[1] quien contó con el aporte intelectual del tratadista Fernando Velásquez Velásquez y con la colaboración académica de la Facultad de Derecho de la Universidad Santiago de Cali y el Comité de Asuntos Políticos y Legislativos del Colegio de Jueces y Fiscales de Antioquia.

II. PRECISIONES INICIALES.

En la actualidad han surgido muchos problemas relacionados con el uso de las computadoras, amenazas que afectan negativamente tanto a los individuos como a las empresas. La proliferación de estos instrumentos que se han constituido en la principal herramienta de funcionamiento en casi todos los niveles de convivencia, así como la creación de la red global, ha provocado que cada vez más personas se las ingenien para lucrarse, hacer daño o causar perjuicios a través del uso de estos instrumentos.

Por ello, se pone en consideración del Honorable Congreso de la República de Colombia este proyecto de ley sobre los delitos informáticos, que pretende regular y sancionar una serie de conductas, que sorprendentemente, no son tenidas en cuenta por nuestra Legislación Penal.

Se trata de un decálogo de tipos penales, muchos de ellos con nuevos verbos rectores que sólo se conjugan en las circunstancias informáticas origen del presente estudio.

Antes de entrar a considerar más en detalle los delitos informáticos, se torna obligado exponer el tema sobre la legitimidad del documento electrónico, el dato y, por consiguiente, la información en Colombia, que es a la postre el bien jurídico tutelado susceptible de ser vulnerado, cualquiera que sea el propósito ilegal pretendido por el sujeto activo de la conducta. Lo anterior, permite establecer claras fronteras entre un verdadero delito informático y un hecho punible que ha usado medios electrónicos para su consumación.

La mayoría de los expositores se refieren al tema de los delitos informáticos, sin detenerse a reflexionar que, para poder hablar de un delito informático, son necesarios dos presupuestos básicos: uno, que la conducta constitutiva del mismo esté tipificada por la Ley; y dos, que medie una sentencia condenatoria en la cual el funcionario judicial haya declarado probada la existencia concreta de una conducta típica, antijurídica y culpable del delito informático, lo que permite colegir sin profundas elucubraciones que la conducta informática socialmente reprochable es atípica en Colombia.

Así las cosas, es necesario precisar y explicar en qué consiste el bien jurídico tutelado de la información (almacenada, tratada y transmitida a través de sistemas informáticos), en toda su amplitud, titularidad, autoría, integridad, disponibilidad, seguridad, transmisión, confidencialidad e intimidad, sin perjuicio de que con su vulneración, subsidiariamente y en tratándose de intereses colectivos, afecte otros bienes jurídicos como la propiedad generalmente. Así mismo, se debe mostrar cómo el decálogo de conductas aquí propuesto está constituido por tipos autónomos y no subordinados por circunstancias genéricas o específicas de agravación punitiva de otros tipos, como ha sido la costumbre legislativa en el mundo. Igualmente, se debe tener en cuenta que algunas de las expresiones utilizadas aparecen en idioma inglés porque muchas de esas conductas están en esa lengua o porque su texto original en ese idioma ha sido modificado caprichosamente por los llamados “hackers”, lo que obliga a utilizar locuciones castellanas que de forma más o menos aproximada permita tipificar las susodichas conductas.

III. LOS BIENES JURÍDICAMENTE TUTELADOS.

A lo largo de la evolución del Derecho penal se han distinguido diversos conceptos de bien-jurídico. En efecto, la noción acuñada por Birnbaum a mediados del S. XIX, se refiere a los bienes que son efectivamente protegidos por el Derecho; esta concepción, sin embargo, es demasiado abstracta y por ello no cumple con la función delimitadora del Ius puniendi que persigue un derecho penal de inspiración democrática.

Según Von Liszt, y bajo una concepción material del bien jurídico, su origen reside en el interés de la vida existente antes del Derecho y surgido de las relaciones sociales. El interés social no se convierte en bien jurídico hasta que no es protegido por el Derecho.

A su turno, el concepto político criminal del bien jurídico trata de distinguir el bien jurídico de los valores morales, o sea busca plasmar la escisión entre Moral y Derecho, que si bien a veces pueden coincidir en determinados aspectos, no deben ser confundidas en ningún caso. Esta concepción del bien jurídico es obviamente fruto de un Estado Social y Democrático de Derecho, y dada su vertiente social, requiere una ulterior concreción de la esfera de actuación del Derecho penal a la hora de tutelar intereses difusos.

El origen de la noción de bien jurídico está, por tanto, en la pretensión de elaborar un concepto del delito previo al que forma el legislador, que condicione sus decisiones, de la mano de una concepción liberal del Estado, para la cual este es un instrumento que el individuo crea para preservar los bienes que la colectividad en su conjunto quiera proteger.

En otras palabras: el bien jurídico es la elevación a la categoría del bien tutelado o protegido por el derecho, mediante una sanción para cualquier conducta que lesione o amenace con lesionar este bien protegido; de ello se infiere que el bien jurídico obtiene este carácter con la vigencia de una norma que lo contenga en su ámbito de protección, mas si esta norma no existiera o caduca, éste no deja de existir pero si de tener el carácter de jurídico.

Esta característica proteccionista que brinda la normatividad para con los bienes jurídicos, se hace notar con mayor incidencia en el ámbito del Derecho penal, ya que en esta rama del orden jurídico más que en ninguna otra la norma se orienta directamente a la supresión de cualquier acto contrario a mantener la protección del bien jurídico. Por ejemplo, el delito de espionaje informático busca sancionar los actos que difunden en forma irregular la información privilegiada industrial o comercial a través de medios electrónicos.

En la actualidad, la conceptualización del bien jurídico no ha variado en su aspecto sustancial de valoración de bien a una categoría superior, la de bien tutelado por la ley, en cuanto a ciertos criterios como el origen o como el área del derecho que deba contenerlos.

El Derecho penal, pues, tiene su razón de ser en un Estado social porque es el sistema que garantiza la protección de la sociedad a través de la tutela de sus bienes jurídicos en su calidad de intereses muy importantes para el sistema social y, por ello, protegibles por el Derecho penal. Sin embargo, no debe olvidarse que existen bienes jurídicos que no son amparados por el Derecho penal por ser intereses sólo morales, por lo cual no todos los bienes jurídicos son bienes jurídico-penales.

IV. LOS BIENES JURÍDICO-PENALES.

Un Estado Social y Democrático de Derecho debe amparar sólo las condiciones de la vida social en la medida en que éstas perturben las posibilidades de participación de los individuos en el sistema social. Por tanto, los bienes jurídicos serán jurídico-penales sólo si revisten una importancia fundamental, o sea cuando las condiciones sociales a proteger sirvan de base a la posibilidad de participación de los individuos en la sociedad. En un Estado democrático cabe destacar la importancia de la participación de los individuos de vivir en sociedad, confiando en el respeto de la propia esfera de libertad individual por parte de los demás.

Otra característica esencial de los bienes jurídico-penales es la necesidad de protección de los mismos, o sea que a través de otros medios de defensa que requirieran menos intervención y, por tanto, fueran menos lesivos no se logre amparar satisfactoriamente el bien.

El bien jurídico nace de una necesidad de protección de ciertos y cambiantes bienes inmanentes a las personas como tales, esta protección es catalizada por el legislador al recogerlas en el texto constitucional, de la cual existirían bienes cuya protección será cumplida por otras ramas del derecho, es decir, que no todos los bienes jurídicos contenidos en la Constitución tienen una protección penal, pues también existen bienes jurídicos de tutela civil, laboral, administrativa etc.

Aquellos bienes jurídicos cuya tutela sólo y únicamente puede ser la tutela penal, son los denominados bienes jurídicos penales; al determinar cuáles son los bienes jurídicos que merecen tutela penal, siempre se tendrá en cuenta el principio de tener al Derecho penal como ultima ratio o última opción para la protección de un bien jurídico ya que este afecta otros bienes jurídicos a fin de proteger otros de mayor valor social. De otro lado, es claro que no aparece otro factor que se revele como más apto para cumplir con la función limitadora de la acción punitiva, pues —como hemos observado— sólo se deben proteger los bienes jurídicos de mayor importancia para la convivencia social y cuya protección por otras ramas del derecho hagan insuficiente la prevención que cualquier transgresión los afecte.

V. PRINCIPIO DE LA INTERVENCIÓN MÍNIMA DE LA ACTUACIÓN PUNITIVA DEL ESTADO.

Es el axioma que restringe el campo de la libertad del ciudadano y que, mediante la pena, priva de derechos fundamentales o condiciona su ejercicio; por ello, por una parte, debe ser el último de los recursos (ultim ratio) de los que el mismo tiene a su disposición para tutelar los bienes jurídicos y, por otra parte, debe ser lo menos gravoso posible para los derechos individuales, mientras resulte adecuado para alcanzar los fines de protección que se persiguen. Ello significa que:

1) El Derecho Penal sólo es aplicable cuando para la protección de los bienes jurídicos se han puesto en práctica otras medidas no represivas, que pueden ser, por ejemplo, de carácter laboral, administrativo o mercantil, y ellas han resultado insuficientes; por tanto, sería desproporcionado e inadecuado comenzar con una protección a través del Derecho Penal.

2) El Estado debe graduar la intervención sancionadora administrativa y penal, de modo que siempre que sea posible alcanzar el amparo del bien jurídico mediante el recurso a la potestad sancionadora de la Administración, debe preferir ésta a la penal, por ser menos gravosa, al menos para las conductas menos dañosas o menos peligrosas.

Se debe entender, entonces, que el Derecho Penal tiene carácter subsidiario frente a los demás instrumentos del ordenamiento jurídico y, así mismo, posee carácter fragmentario, en cuanto no tutela todos los ataques a los bienes jurídicos relevantes sino únicamente los más graves o más peligrosos. El Derecho Penal sólo es aplicable cuando para la protección de los bienes jurídicos se han puesto en práctica otras medidas no represivas, que pueden ser —por ejemplo— de carácter laboral, administrativo o mercantil, y ellas han resultado insuficientes; por tanto, sería desproporcionado e inadecuado comenzar con una protección a través del Derecho Penal.

VI. NATURALEZA JURÍDICA DEL BIEN JURÍDICO TUTELADO DE LA INFORMACIÓN.

Para algunos, el delito informático representa sólo la comisión de otros delitos mediante el uso de las computadoras, pues se considera que en realidad no hay un bien jurídico protegido en este caso, pues se parte del presupuesto de que dicha conducta no existe como tal. Otros, por el contrario, opinan que estos delitos tienen un contenido propio, afectando así un nuevo bien jurídico “La Información”, gracias a lo cual diferencian los delitos computacionales y los delitos informáticos propiamente dichos.

Finalmente, una tercera corriente considera que los delitos informáticos deben ser observados desde un punto de vista triple: como fin en sí mismos, pues el computador puede ser objeto de la ofensa, al manipular o dañar la información que este pudiera contener; como medio, esto es, como herramienta del delito, cuando el sujeto activo usa el ordenador para facilitar la comisión de un delito tradicional; y, finalmente, como objeto de prueba: los computadores guardan pruebas incidentales de la comisión de ciertos actos delictivos cometidos a través de ellos.

El bien jurídico ha sido y será la valoración que se haga de las conductas necesarias para una vida pacífica, recogidas por el legislador en un determinado momento histórico–social; por ello, el concepto de bien jurídico no desaparece, solo cambia en cuanto al ámbito de protección que lo sujeta. El desarrollo de esta institución jurídica, pues, pasa por momentos totalmente distintos dado que ellos son producto de las necesidades propias del desarrollo de la sociedad; ellos, en consecuencia, no se originan al crear una norma sino que su existir es previo a la misma.

El bien jurídico se justifica, entonces, como categoría límite al poder punitivo del Estado, un obstáculo capaz de impedir arbitrariedades, distorsiones o confusiones en la elaboración de la estructura penal; las funciones de garantía son inherentes al bien jurídico penal y se vincula a la relación individuo-Estado. Por ello, bajo el mecanismo de garantía resulta posible denunciar todos los elementos que amenacen o avasallen a la persona en su relación con el Estado. La función de interpretación de la norma penal, conducirá siempre al bien jurídico, en cuya sede se pueden establecer criterios esclarecedores o correctivos de los alcances de la protección a fin de evitar distorsiones en la comprensión del contenido de los bienes jurídicos en concreto.

VII. NECESIDAD DE ADOPTAR UNA LEGISLACIÓN SOBRE DELITOS INFORMÁTICOS

Nuestra tradición jurídica se ha concentrado en la modificación de los tipos penales existentes, sea la oportunidad para llamar la atención sobre la necesidad que tiene el país de adoptar una legislación especifica y desde luego incluida dentro de la Penal, y en la que se determine los tipos penales que se han -adoptado en muchos países bajo la denominación de delitos informáticos, puesto que ante los avances tecnológicos y las posibilidades que personas inescrupulosas hagan uso de estos para generar detrimento patrimonial o atentar contra la dignidad, así como contra otros bienes jurídicos, hacen necesario una respuesta desde el ámbito legislativo, pues de no hacerlo, el país se puede tornar en un paraíso para este tipo de personas, que por su conocimiento pueden utilizar como puente o plataformas equipos en el país y realizar ilícitos en otros.

Los fraudes en línea, suplantaciones de identidad, espionaje informático, bloqueo ilegitimo a sistemas informáticos, daño informático, la estafa electrónica, suplantación de sitio WEB para capturar datos personales, violación de datos personales, difusión de terrorismo o ciberterrorismo, pornografía infantil por Internet, son entre otros los comportamientos que al no estar tipificados como punibles y por ser realizados con tecnología que se realiza en forma remota segura y anónima, así como que no reconoce fronteras y requieren de investigaciones trasnacionales, hacen necesario que se de inicio al proceso de estudio para que mediante el legislativo se generen las repuestas y correctivos que la sociedad requiere.

VIII. EL DELITO INFORMÁTICO.

Toda ley debe ser redactada en forma clara y concisa, es decir, su lenguaje debe ser comprensible para el interprete, y con mayor razón cuando se pretende con ella legislar sobre una materia técnica, pues en ciertas actividades del conocimiento se utiliza un lenguaje especial, sin embargo, es de resaltar que en materia de tecnología informática, se está ante un constante cambio y creación de términos o palabras, para designar actividades o usos de los sistemas los que generalmente inician con expresiones en inglés y que luego en cada país se generalizan o modifican con expresiones en español. Bajo esta premisa, si bien el legislar puede dar significado a ciertos términos, en lo que respecta al artículo Primero del proyecto de ley del HR Varón, los utilizados no pueden tenerse como limitantes, máxime que pueden restringir la función del intérprete en su aplicación, por lo que se sugiere que además de estas definiciones se deben tener presentes las que se crean y utilizan por quienes se dedican a esta área del conocimiento, y desde luego en los diccionarios especializados, que son avalados por las organizaciones internacionales y las convenciones que se realizan sobre la materia.

Atendiendo la propuesta del Representante Varón, el de hacer énfasis en modificar o agregar parágrafos a algunos artículos del Código Penal, seria pertinente hacer la aclaración que estos se tuvieron en cuenta en nuestro proyecto pero realizando una tipificación técnica. Por ejemplo el Daño en Bien Ajeno, por el de Daño Informático.

Ahora bien hemos considerado y decidido que el consagrar el BIEN JURÍDICO TUTELADO DE LA PROTECCIÓN DE LA INFORMACIÓN, está acorde con el pensamiento internacional en darle una categoría especial de protección y por lo tanto éste debe permanecer en nuestro proyecto, como el Título VII BIS y dentro de éste los diez nuevos artículos.

Hemos analizado que el artículo Segundo del proyecto del Representante Varón, que aparece bajo el epígrafe POSESION DE INSTRUMENTOS APTOS PARA INTERCEPTAR COMUNICACIONES PRIVADAS, al compararlo con la actual redacción del artículo 193 del Código Penal, se nota que se cambian las expresiones “ofrezca, venda o compre” por la de “Posea y comercialice para cualquier fin”; dicha reforma no es sustancial y por el contrario, esta tipificación puede tornarse en peligrosista, puesto que la posesión de un bien no determina su ilicitud, de tal manera que el sancionar ésta, es estar presumiendo la mala fe de su tenedor y ello seria desbordar la finalidad del derecho penal y las garantías consagradas en la legislación penal. Sugerimos en nuestro proyecto en el artículo Tercero el nuevo contenido del artículo 193 del Código Penal y modificamos el epígrafe agregándole el término “y comercialización” y dentro de la descripción del tipo modificamos los fines que para el Dr. Varón “son cualquiera” y en el nuestro establecemos que tienen que ser ilícitos.

Como observación especial, el artículo 269B que teníamos en un primer momento como ACCESO ILEGÍTIMO A SISTEMAS INFORMÁTICOS lo suprimimos y lo reemplazamos como el nuevo contenido del artículo 195 del Código Penal, el mismo que el Dr. Varón, lo denomina ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO y lo integra en su proyecto como el artículo Tercero; en el nuestro lo integramos como el artículo cuarto y se le modificó parcialmente en el epígrafe el término de ABUSIVO por ILEGÍTIMO y se le agregó el término que “acceda ilegítimamente” y la pena se adecuó a la técnica legislativa establecida en el presente proyecto de años en vez de meses, estableciéndose igualmente un quantum punitivo de tres a seis años y una multa de cien a quinientos salarios mínimos legales. Los verbos rectores empleados se infieren de las locuciones “ingresar sin estar autorizado o se mantenga contra la voluntad de quien tiene derecho a excluirlo” que consideramos como acertada la inclusión, expuesta en el proyecto del HR. Varón.

El Acceso Abusivo a un Sistema Informático, también se le conoce en el medio informático como White hacking, porque los autores de esas conductas quieren demostrarle al sistema de seguridad en donde acceden lo capaces que son. En el Ethical hacking no se adecua esta conducta, siempre y cuando se demuestre que existe un contrato profesional para realizar esta clase de tareas investigativas (violaciones consentidos) o asaltos informáticos. Este comportamiento es, sin duda, uno de los delitos informáticos de mayor ocurrencia, puesto que el hacker al realizar otros comportamientos informáticos, ingresa abusivamente al sistema informático, con lo cual su actuar va asociado a otras conductas punibles. En la mayoría de las legislaciones del mundo por su inexistencia legal se le ha considerado atípico amén que en la mayoría de las veces no se produce daño económico, nosotros descartamos tal evento, pues lo que se protege acá es la información, cualquiera que sea su cuantía o categoría, sin importar por ende que se viole un bien patrimonial, el que pensaríamos en la posible consumación de un posible concurso de tipos.

No obstante lo anterior consideramos que han crecido los ataques a través de la Internet, tenemos entendido según un informe de la IBM, que la industria de desarrolladores de programas para el robo de datos, sigue en ascenso en todo el mundo gracias a la red[2]. El equipo de investigación y desarrollo de la compañía identificó y analizó más de 210.000 nuevas muestras de malware, en el primer semestre de 2007, que ya exceden la cantidad total de muestras de malwere observadas durante todo el año 2006.

No obstante suena curioso que la Certified Ethical Hacker de EC-COUNCIL expide certificado de hackeo ético[3], esto es, aquellas investigaciones de especialistas informáticos en desbloquear o romper barreras de seguridad a redes o a programas, pero son muy pocas las empresas que valoran estos servicios por su origen poco ortodoxo, le permitiría a muchas empresas y a personas en particular evitar ataques de acceso ilegítimos a sus sistemas, pues dichos estudios tocan temas como auditorías perimetrales, pen-testing, criptografías, ingeniería reversa, desbordamientos de buffer, generación de exploit, hacking a wifi etc., siendo esto lo usual del delincuente informático.

Esta situación en una eventual flagrancia informática, se debe tener en cuenta, porque habría una exclusión de responsabilidad, porque no habría una vulneración del bien jurídico tutelado al existir una justificación de la conducta, el hackeo blanco o ético, como también se le llama.

El artículo 269A de nuestro Proyecto pretende proteger la información privilegiada industrial, comercial, política o militar relacionada con la seguridad del Estado. Se castiga, pues, la falta de sigilo o confidencialidad de los profesionales, responsables o encargados de los ficheros de los datos automatizados. El Dr. Varón lo tiene como el nuevo texto del actual artículo 308 de nuestro Código Sustantivo, en su artículo octavo, consideramos que nuestro tipo como protector de la información debe existir en el decálogo del nuevo Título VII Bis. Como pueden observar Honorables Congresistas, nuestro artículo subsume las dos sugerencias del Representante Varón, obrantes en los artículos Octavo y Noveno, cuando se refiere a la Violación de Reserva Industrial o Comercial y al Espionaje político, económico o militar de su proyecto de ley. Creemos que debe ser así siguiendo los lineamientos del bien jurídico protegido de la información de nuestro proyecto de ley, sin importar entonces la clase de ella, pues los delimitarán ciertamente los artículos 308 y 463 del Código Penal actual.

En el artículo 269B, el verbo rector de la conducta es el impedir el acceso a los sistemas informáticos; este comportamiento se conoce también como extorsión informática, pues el delincuente bloquea, asedia, o acorrala el sistema hasta cuando no se le cancele una suma de dinero. El caso más patético es el caso de Hackers turcos y eslovenos que tomaron como rehén la página de un club de fútbol colombiano, el Envigado FC, un equipo de la segunda división. Sin embargo, también se conoce de personas que por alguna razón de confianza han logrado acceder a cuentas de correo electrónicos y que luego, por alguna indisposición, se distancian de éstas pero siguen conociendo de las claves de acceso, modifican éstas e impiden que el titular de la cuenta las abra, realizando diversos comportamientos, incluso difamar del titular de la dirección electrónica, como sucede con los novios que terminan la relación pero abusan de los secretos que, en pareja crearon y guardaron, difundiéndolos en la red cuando ya no lo son.

En el artículo 269C se refiere al uso de virus o software malicioso, una conducta muy generalizada en la red; en este artículo corregimos la frase de “sanción de privación de libertad” por el de “prisión”, por técnica legislativa.

Tenemos conocimiento que los ataques furtivos on line crecieron en lo que va de este año, durante el que se registró un incremento en el volumen y la sofisticación del malware (código informático con intenciones maliciosas), el surgimiento de los cibercriminales y una menor cantidad de divulgaciones de vulnerabilidades comparado con el primer semestre de 2006.

Según la investigación[4] sobre el crecimiento de ataques furtivos con malwere, del año 2006, había indicado que los cibercriminales habían comenzado a adquirir código de seguridad clandestinamente, lo encriptaban para evitar que fuese pirateado y luego lo vendían por grandes sumas de dinero a distribuidores de correo basura.

En el 2007, estos proveedores han agregado la nueva práctica de "seguridad informática" a su repertorio.

Mediante la seguridad informática, los agresores ahora pueden probar técnicas con una inversión inicial menor, convirtiendo a este mercado clandestino en una opción incluso más atractiva para los malvados perpetradores.

A su turno, el artículo 269D prevé como punible el abuso de medios informáticos, mediante la introducción de verbos rectores como "intercepte", "interfiera", "use" o "permita que otro use". Ello, es consecuencia de que en materia de delitos informáticos es frecuente que el hacker al realizar otras conductas informáticas, ingrese abusivamente al sistema informático, por lo cual suele realizar un concurso de conductas punibles. También, es muy común el comportamiento denominado denegación de servicio DDos (Distributed Denial Of Service Attack) que permite bloquear un servidor por múltiples ataques.

En lo que respecta al artículo 269E, debe decirse que se refiere a la protección de la destrucción de la información, bien que aún no ha sido clasificado por la doctrina, como mueble o inmueble, siendo necesario tipificarlo por tan sue generis circunstancia. Incluso, esta conducta es extensiva para los programadores que insertan en sus programas virus con el objeto de autodestruirse o destruir el soporte lógico en donde se monta, so pretexto de ejecutarse sin licencia. Este comportamiento se agrava cuando el fin perseguido es de carácter terrorista, cuando la conducta del agente sobreviniere daño común, si recae sobre bienes estatales, o cuando interviene un servidor público con provecho para si o para un tercero.

Sobre este aspecto el Dr. Varón sugiere modificar el tipo señalado en el artículo 265 del Código Penal, agregándole el término “los datos personales o los datos de autorización o autenticación de sistema informático”; consideramos que en el tipo estudiado y que aparece en nuestro proyecto como el 269E, ampara en forma exclusiva el daño sobre la información y creamos algunas circunstancias de agravación especial, como ustedes lo pueden observar con la lectura del proyecto.

El artículo 269F se refiere a la estafa informática, la que no puede ser subsumida en la estafa clásica, pues los verbos rectores son diferentes; en efecto, debe recordarse que en aquella (la clásica), la inducción se realiza en humanos, en cambio en el delito informático no se puede inducir o mantener a otro en error por medio de artificios o engaños, pues las máquinas no son susceptibles de inducción al error, pues se debe manipular la información para lograr la transferencia de activos en forma ilegal. En principio, esta conducta se ha considerado como un modus operandi. Debe, pues, distinguirse el comportamiento de estafa logrado a través de medios informáticos, de la Estafa Informática que se refiere a la modificación de la información económica o patrimonial.

En tratándose del Phishing, al que le veremos problemas en esta legislatura con su castellanización, lo regulamos en el artículo 269G, debe decirse que la conducta pone en peligro la integridad de la información sensible del usuario con graves consecuencias patrimoniales la mayoría de las veces. El tipo se consuma con el diseño de página (s) falsa (s) de la entidad atacada; el imputado debe registrar ese site falso, que en el medio se le denomina como "carnada", con un dominio similar al de la entidad. Logrado el registro del nombre de dominio se debe ubicar el alojamiento en hosting. Luego, el delincuente remite correo masivo spam (lanza la carnada) a una base de datos que seguramente ha adquirido en el mercado negro. Seguidamente, caerán incautos, pues muchas personas no diferencian fácilmente entre un site legítimo y uno falso; el afectado, ingenuamente, suministra su información, incluyendo datos de acceso y contraseñas bancarias. El delincuente captura estos datos y procede a realizar las operaciones bancarias electrónicas y ordena las transferencias a cuentas de tercero.

Estas transferencias las realiza mediante spam a través de terceros que se les llaman Phishing mulas, enviando correos de ofertas de trabajo a personas que ansiosas de laborar realizan cualquier labor para ganarse algunos pesos y mejor si resulta ser muy fácil. Objetivo: Captar intermediarios para recibir el dinero. Actividad: Recibir en su cuenta el dinero procedente de las víctimas, luego éstos envían el dinero al Phisher (delincuente informático) según instrucciones.

En esta descripción típica, pues, no se pena al phisher mula (incauto cibernauta, casi siempre) que vincula el agente para el éxito del ilícito, pues ha ofrecido su cuenta bancaria o sus servicios en forma espontánea, ante unas supuestas transacciones, como un pseudo-representante de la compañía internacional que en el país le han hecho creer, porque si se prueba que éste, el que ha prestado su nombre, lo hace con la finalidad de obtener lucro incurre en una conducta ya consagrada en nuestro Código Penal, bajo el epígrafe de Enriquecimiento ilícito de particulares, consistente en penalizar el que de manera directa o por interpuesta persona obtenga, para sí o para otro, incremento patrimonial no justificado, derivado en una u otra forma de actividades delictivas (artículo 327).

Finalmente, resulta oportuno resaltar que el nombre de Phishing viene de una combinación de “Phishing” (en inglés pescar) con las dos primeras letras cambiadas por “ph”: la “p” de password (contraseña) y la “h” de hacker (pirata informático). El Anti-Phishing Working Group, organización creada en EE. UU. para combatir este fraude, asegura que el número y sofisticación del 'Phishing' enviado a los consumidores se está incrementando de forma dramática y que "aunque la banca online y el comercio electrónico son muy seguros, como norma general hay que ser muy cuidadoso a la hora de facilitar información personal a través de Internet".

Ya PhishTank, en su primer aniversario, ha lanzado un informe que abarca un año con más de 300.000 casos registrados de Phishing, y ustedes pueden encontrar una mayor información sobre el tema y como se combate en el mundo visitando el site http://seguinfo.blogspot.com/.

Actualmente los ataques con Phishing no han cesado y tenemos conocimiento de un reciente informe del Internet Storm Center (ISC)[5], en donde nos describe nuevas técnicas de robo de identidad (Phishing), un fenómeno nuevo -o no tanto-, el Phishing vía Skype, el más popular servicio de voz sobre IP (VoIP).

La idea es robar las credenciales de acceso a Skype, de la misma manera que el Phishing tradicional intenta robar los datos de acceso a instituciones financieras.

Phishing es la técnica utilizada para obtener información confidencial mediante la suplantación de una persona o institución legítima (generalmente por medio de un "scam", mensaje electrónico fraudulento, o falsificación de página web); lo que hoy pretendemos legislar sancionando el comportamiento.

En el reporte se describen ataques que se remontan a mayo de 2007, donde la mayoría adoptan un enfoque obvio con mensajes como el siguiente: "Es necesario que actualice sus credenciales, pulse aquí para acceder a [...]", y se muestra un enlace a un sitio falso que simula ser el de Skype.

La pregunta es, ¿porqué querría alguien robar las credenciales de acceso a un servicio gratuito? Una teoría es que con el uso de la voz, podrían mejorarse otras técnicas utilizadas para delinquir, y llevar a cabo ataques de Phishing más elaborados, tales como el clásico correo electrónico con estafas "a la nigeriana".

Pero, ¿Por qué robar las cuentas y no crearlas con nombres falsos? Tal vez porque Skype es bueno bloqueando la creación de cuentas de forma automática, y puede resultar mucho más fácil utilizar la clásica ingeniería social para que el propio usuario sea quien termine proporcionando sus datos al atacante.

Ello tiene lógica, desde que toda nueva técnica que sirva para que los delincuentes detrás del Phishing puedan obtener más ganancias, seguramente será explorada por éstos tarde o temprano.

Tratamos de proteger a la sociedad para que no caigan en la trampa de quienes intentan robar la identidad de los usuarios de la Internet, como cuando se recibe un mensaje de Skype que por cualquier razón se nos solicita que hagamos clic en un enlace para luego ingresar o confirmar sus datos de acceso, no se debe hacer. O como en forma muy original los cibercriminales invitan al ciudadano a instalar un programa en su barra de tareas para supuestamente evitar el apoderamiento de datos o el último que tenemos conocimiento, en donde afirman ser de la Asociación Bancaria y le sugieren al usuario que haga clic en el link y baje un programa que lo actualizará y protegerá supuestamente de todas las transacciones bancarias que realice a través de la Internet y lo que hacen realmente es permitirle al delincuente accesar a esa clase de información, bancaria u otra, como son los datos personales. Después de todo, ésta lógica debería aplicarla para cualquier mensaje no solicitado en donde se le pida hacer clic en un enlace, y mucho menos si luego se le solicita un nombre de usuario y contraseña, o cualquier otro dato que normalmente solo debería ingresar en la página a la que usted accede escribiendo la dirección del sitio en su navegador.

Para describir la conducta punible de falsedad en el artículo 269H, se emplean los verbos rectores borrar, alterar, suprimir, modificar e inutilizar. La norma pretende proteger la información de todo tipo de documentos privados o públicos que tengan carácter probatorio. Hoy, la mayoría de las transacciones en comercio electrónico se hace en este formato y son muy pocas las oportunidades que se registran en soporte papel. Piénsese, por ejemplo, en la transacción que realiza un comerciante Colombiano con zapatos Italianos y, a través de accesos ilegales al sistema, logra modificar las condiciones de la transacción; por ejemplo, que el vendedor asuma el IVA, los valores de la transacción, que modifique el catálogo de productos, etc.

No todas las veces, pues, se imprimen los documentos electrónicos en soporte papel, además esta adulteración logra engañar, virtud de la falsedad para convencer; al lograrse todo esto, se crea un documento ilegítimo y su contenido no es cierto o parcialmente verdadero.

Tampoco, se puede pasar por alto, por ser una verdad de perogrullo, que la falsedad no siempre es material o física, basta recordar la destrucción de las cartillas decadactilares que, se dice, borró el ex-Director de Informática del DAS o las vulneraciones que se han hecho en la Registraduría Nacional del Estado Civil para “desaparecer o resucitar” a ciudadanos. Finalmente, téngase en cuenta que el documento electrónico y, por ende, su adulteración, ha sido debatida por vía jurisprudencial porque la Corte Constitucional en su sentencia No. C-356 de Mayo 6 de 2003 lo reconoció pero, ciertamente, esa Corporación no es un ente legislativo para darle esta categoría eminentemente legislativa.

La punición de la violación de datos personales que aparece en el nuevo artículo 269I, se quiere salvaguardar el derecho protegido a la autodeterminación informativa, un estrecho nexo con valores, como la dignidad humana y el libre desarrollo de la personalidad, así como con otras libertades públicas como la ideológica o la de expresión. La conducta se define con el empleo de los siguientes verbos rectores: autorizar en negación, obtener, compilar, sustraer, ofrecer vender, intercambiar, enviar, comprar, divulgar, modificar o emplear datos sensibles.

Finalmente consagramos en el artículo 269J, que aparece bajo el epígrafe de Uso Abusivo de correo no Solicitado, el muy famoso spam, el que precisamente el autor de este proyecto, el Dr. Alexander Díaz García, es el Juez que tramitó por primera vez una sentencia judicial en la Internet protegiendo el Derecho Fundamental de Hábeas Data y la Intimidad Virtual, precisamente violado por uso masivo de spam.

El spam es el envío de correspondencia no solicitada, enviadas a nuestras direcciones electrónicas o domicilios físicos, en donde en formato electrónico o en soporte papel en físico, recibimos información que nunca hemos solicitado y tal vez nunca nos interesará, perturbando nuestra intimidad. Este flagelo tiene que contenerse con una medida fuerte, pues no sólo a través de este medio se realiza mercadeo electrónico de productos legales, sino que algunos inescrupulosos realizan este procedimiento para que caigan incautos o pescar infantes o difusión de información restringida.

Este flagelo informático que ha generado problemas económicos a los usuarios del correo electrónico, vulnera también derechos fundamentales como el de la intimidad virtual y el hábeas data a los usuarios de la Internet y de las telecomunicaciones. Recuérdese que el spaming se puede realizar mediante el uso masivo de correspondencia electrónica, llamadas telefónicas o avisos en el monitor de los teléfonos móviles. Ya sobre el tema la justicia Argentina y la de los Estados Unidos están castigando esta conducta, precisamente se tiene conocimiento[6] que un Tribunal del país del norte condenó a Jeffrey Kilbride y James Schaffer, por enviar spam, conspiración, lavado de dinero, fraude y transporte de materiales obscenos. Intentaron pasar desapercibidos, falsificando un dominio del correo desde donde enviaban los mensajes a una lista de correo comprada en el mercado negro y obtenían beneficios gracias a que algunos de los receptores de los emails, visitaban las páginas de Internet publicadas y/o compraban algún servicio. Se les condenó a cinco años de prisión y a pagar multas de 100.000 y 77.500 dólares respectivamente a AOL, la que exigía una indemnización de millón y medio por las molestica causadas a sus clientes.

En tratándose del artículo Quinto del proyecto del Dr. Varón, en donde crea unas circunstancias de agravación punitiva, hemos considerado que éstas deben incluirse en el artículo 58 del Código Penal, en donde se relacionan las circunstancias de mayor punibilidad, sólo se excluyó el numeral cinco, porque creemos que el provecho para sí o para un tercero está ínsito en la descripción de algunos tipos, tornándose redundante y no muy clara esta agravación, porque se convertiría en una misma circunstancia que le aumentaría la punibilidad. De esta manera sugerimos la modificación de este artículo, incluyendo las circunstancias relacionadas por el HR. Varón.

En lo que respecta al artículo 240 del Código Penal, relacionado por el Representante Varón en su proyecto, le armonizamos el quantum punitivo de meses por años y lo actualizamos concordándolo con la Ley 1142 de 2007. Se le agregó entonces el numeral Cinco en donde se refiere a la manipulación de sistemas informáticos, redes de sistemas electrónicos, telemáticos y otros.

Para finalizar hemos de tocar el tema de las penas establecidas en el proyecto del HR. Varón, tal como están planteadas las penas a imponer, se daría lugar a señalar que estamos ante una política criminal pendular, lo cual resulta incomprensible en un órgano legislativo, puesto que cada seis meses se estaría modificando normas, que sea de resaltar, crearon sanciones drásticas a delitos como el hurto calificado, y dando lugar a otras más benignas sin cambios sociales que la ameriten, concretamente la ley 1142 de junio 28 de 2007. En igual sentido, debe destacarse que el texto del proyecto de ley ignora la sistemática del Código Penal Colombiano, puesto que el legislador siempre ha venido utilizando la tasación de penas en años, y por sistemática penal debe continuarse con este método.

Para los Fiscales y Jueces de la República, al explicar durante la imputación la pena y beneficios o en su defecto tasarla en la sentencia, el trabajar con fracciones genera en el imputado o procesado confusión, e incluso, se torna en la práctica en la imposición de penas que deberían contemplarse en horas, por ello, sería de gran utilidad el establecer penas que desde luego contenga los incrementos establecidos en el artículo 14 de la ley 890 de 2004, puesto que esto también puede ser motivo de confusión, como se explicara mas adelante.

Atendiendo que en algunos artículos de la propuesta del Dr. Varón se conserva la redacción del actual Código Penal, incluyendo tan solo un nuevo inciso, para efectos prácticos resulta acertado adicionar el respectivo artículo y desde luego con la tasación de la pena que rige actualmente. Los anteriores aspectos se pueden apreciar si nos remitimos al artículo 6 del proyecto de ley, en tanto se contempla una pena de prisión entre 48 y 144 meses, es decir 4 y 12 años, cuando con la reforma de la ley 1142 del 28 de junio de 2007, se determino una pena de 6 a 14 años. Situación que daría al traste con la motivación que determinó el incremento punitivo de esta última ley, así como un mensaje de falta de coherencia para la sociedad. Para el hurto con violencia sobre las personas en el proyecto de ley se establece una pena entre 64 y 180 meses, es decir 5.33333 y 15 años, cuando en el actual artículo se determina pena entre 8 y 16 años. Lo que de igual forma se aprecia en el hurto sobre medio motorizado, pues el proyecto establece penas entre 64 y 144 meses, es decir 5.333 y 12 años y en el actual es de 7 y 15 años, no siendo comprensible con la realidad legislativa actual.

En fin, la exposición anterior demuestra la trascendencia que estas conductas ilícitas tienen en el tráfico social por lo que, a la par de convenios internacionales como el de la cibercriminalidad suscrito en Budapest en 2001, el legislador colombiano las debe incluir dentro de su catálogo de prohibiciones. A eso, pues, está enderezado el presente Proyecto de ley que esperamos cuente con la acogida de los H. Congresistas.

IX. Conclusión:

En corolario con las consideraciones expuestas solicito a esta honorable corporación se dé primer debate al articulado del Proyecto de Ley No. 042/07 y 123/07 Cámara (acumulados) “POR MEDIO DEL CUAL SE MODIFICA EL CÓDIGO PENAL (LEY 599 DE 2000), SE CREA UN NUEVO BIEN JURÍDICO TUTELADO - DENOMINADO “LA PROTECCIÓN DE LA INFORMACIÓN” - Y SE PRESERVAN INTEGRALMENTE LOS SISTEMAS QUE UTILICEN LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES, ENTRE OTRAS DISPOSICIONES” contenido en el Pliego de Modificaciones adjunto a esta proposición así:

Texto a consideración de la honorable Comisión Primera de la Cámara de Representantes

PLIEGO DE MODIFICACIONES

A los proyectos de Ley No. 042/07 y No. 123/07 Cámara (acumulados) “POR MEDIO DEL CUAL SE MODIFICA EL CÓDIGO PENAL (LEY 599 DE 2000), SE CREA UN NUEVO BIEN JURÍDICO TUTELADO - DENOMINADO “LA PROTECCIÓN DE LA INFORMACIÓN” - Y SE PRESERVAN INTEGRALMENTE LOS SISTEMAS QUE UTILICEN LAS TECNOLOGÍAS DE LA INFORMACIÓN Y LAS COMUNICACIONES, ENTRE OTRAS DISPOSICIONES”

El articulado del proyecto quedará así:

EL CONGRESO DE LA REPÚBLICA DE COLOMBIA

DECRETA

ARTÍCULO PRIMERO: adicionase el Código Penal con el Título VII BIS denominado “De la Protección de la información”, del siguiente tenor:

ARTÍCULO 269A: ESPIONAJE INFORMÁTICO. El que se apodere, interfiera, transmita, copie, modifique, destruya, utilice, impida o recicle datos informáticos de valor para el tráfico económico de la industria, el comercio, o datos de carácter político y/o militar relacionados con la seguridad del Estado, incurrirá en prisión de seis (6) a diez (10) años y multa de 500 a 2.500 salarios legales mínimos mensuales vigentes.

ARTÍCULO 269B: BLOQUEO ILEGÍTIMO A SISTEMAS INFORMÁTICOS: El que, sin estar facultado, emplee medios tecnológicos que impidan a persona autorizada acceder a la utilización lícita de los sistemas o redes de telecomunicaciones, incurrirá en sanción de cuatro (4) a ocho (8) años de prisión y en multa de 50 a 500 salarios mínimos legales mensuales vigentes.

Parágrafo: Si el bloqueo genera riesgo para la seguridad nacional, la pena se aumentará de una tercera parte a la mitad.

ARTÍCULO 269C: USO DE VIRUS (SOFTWARE MALICIOSO). El que produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional virus (software malicioso) u otros programas de computación de efectos dañinos, incurrirá en sanción de privación de libertad de cuatro (4) a ocho (8) años y en multa de 50 a 500 salarios mínimos legales mensuales vigentes.

Parágrafo: La pena prevista en este artículo se aumentará hasta en la mitad, si la conducta se realizare en provecho propio o de un tercero por parte de empleado o contratista del propietario del sistema informático o telemático, o por un servidor público.

ARTÍCULO 269D: ABUSO DE USO DE MEDIOS INFORMÁTICOS. El que, sin autorización o excediendo la que se le hubiere concedido, con el fin de procurar un beneficio indebido para sí o para un tercero, intercepte, interfiera, use o permita que otra use un sistema o red de computadoras o de telecomunicaciones, un soporte lógico, un programa de computación o una base de datos, o cualquier otra aplicación informática o de telecomunicaciones, incurrirá en sanción de cuatro (4) a ocho (8) años de prisión y en multa de 50 a 500 salarios mínimos legales mensuales vigentes.

ARTÍCULO 269E: DAÑO INFORMÁTICO. El que destruya, altere o inutilice un sistema de tratamiento de información o sus partes o componentes lógicos, o impida, altere, obstaculice o modifique su funcionamiento, incurrirá en pena de prisión de cuatro (4) a ocho (8) años y en multa de 200 a 1000 salarios mínimos legales mensuales vigentes.

La pena se aumentará de una tercera parte a la mitad, cuando:

1. El propósito o fin perseguido por el agente sea de carácter terrorista.

2. Como consecuencia de la conducta del agente sobreviniere peligro o daño común.

3. El acto dañoso se ejecute sobre bien de propiedad de una entidad estatal.

4. Si la conducta se realizare en provecho propio o de un tercero, por parte de empleado o contratista del propietario del sistema informático o telemático, o por un servidor público.

ARTÍCULO 269F: ESTAFA INFORMÁTICA. El que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consiga la transferencia no consentida de cualquier activo en perjuicio de un tercero, siempre que la conducta no constituya delito sancionado con pena más grave, incurrirá en prisión de cuatro (4) a diez (10) años y en multa de 200 a 1000 salarios mínimos legales mensuales vigentes.

Parágrafo: La pena prevista en este artículo se aumentará hasta en la mitad, si el monto del activo transferido es superior a 100 salarios mínimos legales mensuales vigentes.

ARTÍCULO 269G: SUPLANTACIÓN DE SITIOS WEB PARA CAPTURAR DATOS PERSONALES (PHISHING). El que diseñe, desarrolle, trafique, venda, ejecute, programe o envíe páginas electrónicas (web site), enlaces (links) o ventanas emergentes (pop up), incurrirá en prisión de cuatro (4) a ocho (8) años y en multa de 200 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con pena más grave.

En las mismas sanciones incurrirá el que, con el fin de inducir, convencer a los consumidores a divulgar información personal o financiera, modifique el sistema de resolución de nombres de dominio, lo que hace al usuario ingresar a una IP diferente en la creencia de que está accediendo a su banco u otro sitio personal o de confianza, siempre que la conducta no constituya delito sancionado con pena más grave.

La pena señalada en los dos incisos anteriores se agravará de una tercera parte a la mitad, si para consumarlo el phisher ha reclutado Phishing mulas en la cadena del delito.

ARTÍCULO 269H: FALSEDAD INFORMÁTICA. El que sin autorización para ello y valiéndose de cualquier medio electrónico, borre, altere, suprima, modifique o inutilice los datos registrados en una computadora, incurrirá en prisión de cuatro (4) a ocho (8) años y en multa de 50 a 500 salarios mínimos legales mensuales vigentes.

ARTÍCULO 269I: VIOLACIÓN DE DATOS PERSONALES. El que, con provecho para sí o para un tercero y sin autorización, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee datos personales que se encuentren en ficheros, archivos, bases de datos o medios semejantes, públicos o privados, incurrirá en prisión de cuatro (4) a ocho (8) años y en multa de 50 a 500 salarios mínimos legales mensuales vigentes.

Las penas previstas en este artículo se aumentarán hasta en la mitad, si las conductas se realizaren en provecho propio o de un tercero por parte de empleado o contratista del propietario del sistema u operador informático o telemático, o por un servidor público.

Las mismas sanciones se impondrán al que realice dichas conductas cuando la información vulnerada corresponda a un menor de edad.

ARTÍCULO 269J: USO ABUSIVO DE CORREO NO SOLICITADO (SPAM). El que con el propósito de masificar y difundir información comercial, industrial, política, religiosa, sexual, sindical, laboral y/o personal, no solicitada, remita, envíe o transmita correos electrónicos o mensajes impresos en soporte papel, al domicilio virtual o real de personas que aparezcan en base de datos no autorizados; incurrirá en prisión de tres (3) a seis (6) años y en multa de 50 a 100 salarios mínimos legales mensuales.

ARTÍCULO SEGUNDO: El artículo 58 de la Ley 599 de 2000, quedará así:

ARTÍCULO 58: SON CIRCUNSTANCIAS DE MAYOR PUNIBILIDAD, SIEMPRE QUE NO HAYAN SIDO PREVISTAS DE OTRA MANERA:

1. Ejecutar la conducta punible sobre bienes o recursos destinados a actividades de utilidad común o a la satisfacción de necesidades básicas de una colectividad.

2. Ejecutar la conducta punible por motivo abyecto, fútil o mediante precio, recompensa o promesa remuneratoria.

3. Que la ejecución de la conducta punible esté inspirada en móviles de intolerancia y discriminaciones referidas a la raza, la etnia, la ideología, la religión, o las creencias, sexo u orientación sexual, o alguna enfermedad o minusvalía de la víctima.

4. Emplear en la ejecución de la conducta punible medios de cuyo uso pueda resultar peligro común.

5. Ejecutar la conducta punible mediante ocultamiento, con abuso de la condición de superioridad sobre la víctima, o aprovechando circunstancias de tiempo, modo, lugar que dificulten la defensa del ofendido o la identificación del autor o partícipe.

6. Hacer más nocivas las consecuencias de la conducta punible.

7. Ejecutar la conducta punible con quebrantamiento de los deberes que las relaciones sociales o de parentesco impongan al sentenciado respecto de la víctima.

8. Aumentar deliberada e inhumanamente el sufrimiento de la víctima, causando a ésta padecimientos innecesarios para la ejecución del delito.

9. La posición distinguida que el sentenciado ocupe en la sociedad, por su cargo, posición económica, ilustración, poder, oficio o ministerio.

10. Obrar en coparticipación criminal.

11. Ejecutar la conducta punible valiéndose de un inimputable.

12. Cuando la conducta punible fuere cometida contra servidor público por razón del ejercicio de sus funciones o de su cargo, salvo que tal calidad haya sido prevista como elemento o circunstancia del tipo penal.

13. Cuando la conducta punible fuere dirigida o cometida total o parcialmente desde el interior de un lugar de reclusión por quien estuviere privado de su libertad, o total o parcialmente fuera del territorio nacional.

14. Cuando se produjere un daño grave o una irreversible modificación del equilibrio ecológico de los ecosistemas naturales.

15. Cuando para la realización de la conducta punible se hubieren utilizado explosivos, venenos u otros instrumentos o artes de similar eficacia destructiva.

16. Cuando la conducta punible se realice sobre áreas de especial importancia ecológica o en ecosistemas estratégicos definidos por la ley o los reglamentos.

17. Cuando se haya instalado un programa de ordenador o instalado un dispositivo que de cualquier manera atente contra la confidencialidad o integridad de los datos informáticos almacenados en el sistema informático.

18. Cuando los datos informáticos almacenados en el sistema informático pertenezcan a una entidad que cumpla funciones públicas.

19. Cuando los datos informáticos almacenados en el sistema informático pertenezcan al sector financiero.

20. Cuando la acción se realizare por una persona con una relación contractual con el propietario de los datos.

21. Cuando se den a conocer a terceros los datos informáticos así obtenidos o se procese, recolecte o circule los datos personales o los datos de autorización o autenticación del sistema informático.

En todos los casos el juez podrá imponer como pena accesoria la interdicción de acceder o hacer uso de sistemas informáticos.

ARTÍCULO TERCERO: El artículo 193 de la Ley 599 de 2000 quedará así:

ARTÍCULO 193: POSESIÓN Y COMERCIALIZACIÓN DE INSTRUMENTOS APTOS PARA INTERCEPTAR COMUNICACIONES PRIVADAS. El que sin permiso de autoridad competente posea y comercialice para fines ilícitos, instrumentos aptos para interceptar la comunicación privada entre personas, incurrirá en multa, siempre que la conducta no constituya delito sancionado con pena mayor.

ARTÍCULO CUARTO: El Artículo 195 de la Ley 599 de 2000, quedará así:

ARTÍCULO 195: ACCESO ILEGÍTIMO A SISTEMAS INFORMÁTICOS. El que sin autorización o con una finalidad distinta de la autorizada acceda ilegítimamente en un sistema informático protegido con medida de seguridad o se mantenga contra la voluntad de quien tiene derecho a excluirlo, incurrirá en prisión de tres (3) a seis (6) años y en multa de cien (100) a quinientos (500) salarios mínimos legales.

ARTÍCULO QUINTO: El artículo 240 del Código Penal quedará así:

ARTICULO 240. HURTO CALIFICADO. La pena será de prisión de seis (6) a catorce (14) años, si el hurto se cometiere:

1. Con violencia sobre las cosas.

2. Colocando a la víctima en condiciones de indefensión o inferioridad o aprovechándose de tales condiciones.

3. Mediante penetración o permanencia arbitraria, engañosa o clandestina en lugar habitado o en sus dependencias inmediatas, aunque allí no se encuentren sus moradores.

4. Con escalamiento, o con llave sustraída o falsa, ganzúa o cualquier otro instrumento similar, o violando o superando seguridades electrónicas u otras semejantes.

5. Manipulando un sistema informático, redes de sistemas electrónicos, telemáticos u otro medio semejante; superando medidas de seguridad informáticas o suplantando un usuario ante los sistemas de autenticación y autorización establecidos.

El juez podrá imponer como pena accesoria a la conducta calificada en este numeral la interdicción de acceder o hacer uso de sistemas informáticos.

La pena será de prisión de ocho (8) a dieciséis (16) años, cuando se cometiere con violencia sobre las personas.

Las mismas penas se aplicarán cuando la violencia tenga lugar inmediatamente después del apoderamiento de la cosa y haya sido empleada por el autor o partícipe con el fin de asegurar su producto o la impunidad.

La pena será de siete (7) a quince (15) años de prisión cuando el hurto se cometiere sobre medio motorizado, o sus partes esenciales, o sobre mercancía o combustible que se lleve en ellos. Si la conducta fuere realizada por el encargado de la custodia material de estos bienes, la pena se incrementará de la sexta parte a la mitad.

La pena será de cinco (5) a doce (12) años de prisión cuando el hurto se cometiere sobre elementos destinados a comunicaciones telefónicas, telegráficas, informáticas, telemáticas y satelitales, o a la generación, transmisión o distribución de energía eléctrica y gas domiciliario, o a la prestación de los servicios de acueducto y alcantarillado.

ARTÍCULO SEXTO: La presente ley deroga todas las disposiciones que le sean contrarias y rige desde su promulgación.

Con respeto y consideración

CARLOS ARTURO PIEDRAHÍTA C.

Representante a la Cámara

GERMÁN VARÓN COTRINO

Representante a la Cámara.


[1] Alexander Díaz García. Abogado de la Universidad Católica de Colombia; Especialista en: Ciencias Penales y Criminológicas de la Universidad Externado de Colombia; Ciencias Constitucionales y Administrativas de la Universidad Católica de Colombia y Nuevas Tecnologías y Protección de Datos de la Escuela de Gobierno y Políticas Públicas de Madrid adscrita al Instituto Nacional de Administración Pública de España. Autor del libro en soporte papel DERECHO INFORMÁTICO ELEMENTOS DE LA INFORMÁTICA JURÍDICA, Editorial Leyer y de los siguientes trabajos de investigación: EFECTOS JURÍDICOS DE LOS DOCUMENTOS ELECTRÓNICOS EN COLOMBIA. Estudio de la Ley 527 de 1999. DESVINCULACIÓN DEL SERVIDOR PÚBLICO POR USO IMPROPIO DEL EMAIL OFICIAL. LA ÉTICA EN EL DERECHO INFORMÁTICO. LA PROTECCIÓN DEL DATO EN EL CONTEXTO JUDICIAL COLOMBIANO. RETOS Y REALIDADES DE LA ADMINISTRACIÓN DE JUSTICIA EN COLOMBIA CON EL USO DE LOS MEDIOS ELECTRÓNICOS. ACCESO A LA ADMINISTRACIÓN DE JUSTICIA A TRAVÉS DE LAS NUEVAS TECNOLOGÍAS. DESNATURALIZACIÓN DEL DOCUMENTO ELECTRÓNICO JUDICIAL EN LA APELACIÓN DE LA SENTENCIA EN EL SISTEMA PENAL ACUSATORIO (EL JUICIO ORAL) COLOMBIANO. MANEJO DE DATOS SENSIBLES EN FICHERO CLÍNICOS. Autor de la primer proceso judicial electrónico tramitado en la Internet, protegiendo los Derechos Fundamentales de Hábeas Data y la Intimidad Virtual, a través de una acción de tutela virtual, violado por abuso de spam. Facilitador de la Escuela Judicial Rodrigo Lara Bonilla, en los módulos de INTERPRETACIÓN JUDICIAL, JUECES DE PAZ, CONCILIACIÓN EN EQUIDAD PARA JUECES FORMALES Y TRANSVERSALIZACIÓN DE GÉNERO. Catedrático de la Escuela de Administración Pública en el Módulo de Contratación Electrónica Estatal y de la Universidad Cooperativa de Ibagué con la materia Informática Jurídica y Asesor Académico de la Universidad de Ibagué Coruniversitaria. Asesor Académico de la Dirección de Postgrados de la Universidad Santiago de Cali con los proyectos JUZGADO VIRTUAL; ESPECIALIZACIÓN, MAESTRÍA Y DOCTORADO EN NUEVAS TECNOLOGÍAS Y PROTECCIÓN DE DATOS. Y el proyecto de ley DELITOS ELECTRÓNICOS. Conferencista del Programa Internacional de Asistencia y entrenamiento en la Investigación Criminal ICITAP del Departamento de Justicia de los Estados Unidos, con el tema delitos informáticos. Miembro de la Mesa de Trabajo de Seguimiento de Delitos Cibernéticos de la Dirección de Asuntos Políticos Multilaterales del Ministerio de Relaciones Exteriores.

[2] Información tomada de la visita al site http://www.infobaeprofesional.com/notas/55184-Crecen-los-ataques-furtivos-a-traves-de-Internet.html el día 18 de Octubre de 2007.

[3] Información tomada de la visita al site http://blog.hispasec.com/laboratorio/243, el día 18 de Octubre de 2007

[4] Información obtenida en visita al site http://www.infobaeprofesional.com/notas/55184-Crecen-los-ataques-furtivos-a-traves-de-Internet.html el 18 de Octubre de 2007

[5] Información tomada de las visitas que se hicieron a los siguientes sites: Vishing, Skype, and VoIP-Based fraud http://isc.sans.org/diary.html?storyid=3486; El "phishing" se extiende al teléfono (Mercè Molist) http://www.vsantivirus.com/mm-phishing-telefonico.htm; Tendencias del malware para el 2007 http://www.vsantivirus.com/tendencias-malware-2007.htm; Aumentan los ataques de smishing a celulares
http://www.vsantivirus.com/23-08-07.htm; Phishing para usuarios de Skype y otros engaños
http://www.vsantivirus.com/phishing-skype-170607.htm ; No descuidemos la seguridad en los sistemas VoIP
http://www.vsantivirus.com/04-12-04.htm; Skype, gusanos, troyanos, y el enemigo de siempre
http://www.vsantivirus.com/21-12-06.htm; VoIPhreaking, nueva amenaza a la seguridad en VoIP
http://www.vsantivirus.com/na-voiphreaking.htm; En Internet, todos somos extraños
http://www.vsantivirus.com/23-06-05.htm:

[6] Revista PC WORLD. Visita realizada en el site www.pcwla.com el día 18 de Octubre de 2007