Lecciones de derecho penal. Parte especial. Volumen II

Por Jasón Alexánder Andrade Castro, Jaime Bernal Cuéllar, Ángela María Buitrago Ruiz y 5 más

Lecciones de derecho penal. Parte especial está formado por una pluralidad de estudios elaborados por profesores del Departamento de Derecho Penal y Criminología de la Universidad Externado de Colombia que con total autonomía conceptual acometen el análisis sintético de los temas fundamentales de dicha área del conocimiento.

Esta obra fue promovida por el Departamento de Derecho Penal y Criminología de la Universidad Externado de Colombia y pretende, primordialmente, brindar a nuestros lectores, en especial a los estudiantes de la Facultad de Derecho de esta alma máter, un manual de consulta básica que abarca el examen de la mayoría de los tipos penales consagrados en la parte especial de la ley penal colombiana, no solo desde el punto de vista de su estructura y contenido, sino también -y en particular-con énfasis en los aspectos más polémicos de cada uno de ellos, con sustento en desarrollos doctrinales, jurisprudenciales y legales que se han dado en esta materia.

En consecuencia, esta obra constituye un elemento de suma utilidad para el desempeño de estudiantes, funcionarios judiciales, abogados, litigantes y, en general, los estudiosos del tema.

• Idioma: Español
• Editorial: Universidad Externado
• Fecha de lanzamiento: 1 jun 2019
• ISBN: 9789587902112

Vista previa del libro

Delitos informáticos

PRESENTACIÓN

Códigos penales colombianos anteriores y el de 2000 en diversos tipos protectores de plurales bienes jurídicos describen conductas en las que se tiene la información como medio para la realización de otros delitos o como objeto material de los respectivos hechos punibles, pero no existía un nuevo bien jurídico protector de la información y los datos. Tal vacío fue llenado mediante la expedición de la Ley 1273 de 5 de enero de 2009, en la que el legislador optó por la técnica de adicionarle al Código Penal de 2000 un título que regula conductas lesivas de los sistemas informáticos, por considerar que todas ellas atentan contra un interés de naturaleza informática. Es así como esta ley crea un nuevo bien jurídico denominado de la información y los datos, razón por la cual ya no solo se tendrán estos como medios para la realización de otros hechos punibles o como objeto material de delitos, sino que, además, se les asigna un bien jurídico independiente.

Con la nueva normatividad la información y los datos se constituyen como bien jurídico autónomo, cuya vulneración no solo da lugar a tipificar delitos descritos en el nuevo título VII bis del Código Penal de 2000, sino que, además, puede ser el medio para la realización de otros hechos punibles atentatorios contra diversos intereses jurídicos.

PRIMERA PARTE

I. GENERALIDADES

Se dice que estamos en la era de la información, porque la existencia de la internet ha permitido que los computadores faciliten el almacenamiento masivo de una enorme, casi infinita, cantidad de datos, disponibles al instante, lo cual ha estimulado el auge de la ciencia de la informática, que tiene como objeto saber elaborar, conservar, ordenar, comunicar y obtener datos, ante la imposibilidad del hombre de memorizarlos. Por tal razón, el éxito del hombre está en la información y en saber buscarla, pues se dice que quien tiene la información tiene el poder.

A continuación se analizan de manera tangencial las nociones de dato, información y comunicación.

A. EL DATO

El dato, del latín datum (‘lo que se da’), es una representación simbólica (numérica, alfabética, alfanumérica, algorítmica, entre otras) de la esencia y lo característico de algo que, a su turno, constituye la mínima unidad en el proceso de información¹.

Un dato puede ser representado por un número, una letra, un signo ortográfico, un dibujo, un gesto o cualquier símbolo que represente una cantidad, una medida, una palabra, una descripción, una negación o una afirmación, un señalamiento, un hecho, un valor, una situación, etc., que se percibe con los sentidos².

El artículo 1 del Convenio de Ciberdelincuencia del Consejo de Europa, de 23 de noviembre de 2001, en el literal b, define el dato informático como cualquier representación de hechos, información o conceptos de una forma que permita el tratamiento informático, incluido un programa diseñado para que un sistema informático ejecute una función.

B. LA INFORMACIÓN

En sentido general la información es un conjunto de datos acerca de algún suceso, hecho, fenómeno o situación, que organizados y procesados en forma ordenada en un contexto determinado tienen su significado, y una vez percibidos por los sentidos constituye un mensaje que hace cambiar el conocimiento del sujeto o sistema que lo recibe, acerca de algo. En otras palabras: la información es un conjunto organizado de datos que constituye un mensaje sobre determinado ente o fenómeno³.

C. LA COMUNICACIÓN

Está constituida por el conjunto de técnicas que permiten la difusión de información escrita, auditiva, visual o audiovisual a una o varias personas, o a una audiencia vasta y heterogénea con el fin de: 1) transmitir novedades, 2) aumentar los conocimientos, las representaciones, las actitudes, los comportamientos y 3) incentivar reacciones, etc.⁴.

La comunicación exige la concurrencia de por lo menos dos personas: el emisor y el destinatario o receptor.

II. EL CONCEPTO DE BIEN JURÍDICO EN LOS DELITOS INFORMÁTICOS

La Ley 1273 de 2009 brinda adecuada protección a los sistemas de la información y los datos, y además otorga tutela a la preservación integral de los sistemas que utilicen las tecnologías de la información y las comunicaciones; de modo que la protección penal se da no de manera aislada a la información y los datos, sino de forma conjunta con aquellos sistemas. Mediante este bien jurídico se responde desde el ámbito penal a la puesta en peligro de nuevas logísticas necesitadas y merecedoras de protección, como los datos y la información, y al interés colectivo en la seguridad y fiabilidad en su almacenamiento, tratamiento, procesamiento y transferencia en los sistemas y redes informáticos y telemáticos⁵.

Por tanto, hay que distinguir entre datos e información en los que las modernas tecnologías digitales de elaboración, procesamiento, conservación y transferencia hayan sido utilizadas mediante la manipulación del sistema informático, de aquellos en los que este ningún papel desempeña, el que comprende: 1) objetos materiales, como los computadores y las terminales, sus accesorios, el hardware y el software, los canales físicos de comunicación y el acceso de las redes, y 2) actividades, técnicas y protocolos que permiten la tecnología digital.

A. EL TITULAR DEL BIEN JURÍDICO DE LA PROTECCIÓN DE LA INFORMACIÓN Y DE LOS DATOS

El bien jurídico que se protege es el de la relación de confianza que la sociedad debe tener en los sistemas informáticos, las redes de sistemas electrónicos y telemáticos y otros medios semejantes, es decir, en las tecnologías de la información y las comunicaciones. Se trata, por consiguiente, de un delito que va más allá del interés individual en dicha seguridad, porque esta le corresponde a la sociedad, la que, además, tiene derecho a la integridad de los datos, la libertad de su procesamiento y comunicación, lo mismo que a la disponibilidad de la información. Por consiguiente, el bien jurídico es colectivo o supraindividual, cuyo titular lo es la sociedad o colectividad.

B. EL CARÁCTER PLURIOFENSIVO DEL DELITO INFORMÁTICO

La conducta típica de los delitos descritos en la Ley 1273 de 2009 no solo puede causar daño al bien jurídico de la información y los datos, sino también a otros, como la intimidad, la libertad de información y comunicación, la integridad de los documentos, el patrimonio económico, la honra y el honor, por ejemplo. Por ello, ha de afirmarse que se trata de un delito pluriofensivo o compuesto que se caracteriza porque la conducta típica afecta a más de un bien jurídico, pues además de lesionar o poner en peligro el de la protección de la información y los datos afecta otros, como los citados.

C. EL CARÁCTER DE INTERMEDIO DEL BIEN JURÍDICO DE LA PROTECCIÓN DE LA INFORMACIÓN Y DE LOS DATOS

Los delitos tipificados en el capítulo primero del título VII bis del Código Penal regulan Los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos, los cuales tutelan no solo la información y los datos, sino también otros bienes jurídicos, como ya se afirmó. Por ello, el capítulo segundo del mismo título se refiere a los atentados informáticos y otras infracciones y tipifica los delitos de hurto por medios informáticos y semejantes (art. 269I CP) y transferencia no consentida de activos (art. 269J CP), los que además de tutelar la información y los datos, también protegen el patrimonio económico, dado que así lo dice de manera expresa el artículo 269I al remitir a la conducta descrita en el artículo 239 del Código Penal, que describe el tipo básico del delito de hurto, entre cuyos elementos se encuentra el bien jurídico patrimonial; además, el delito de transferencia no consentida de activos tiene como objeto material derechos de crédito constitutivos del patrimonio económico.

A estos delitos no se les puede asignar una naturaleza análoga a la de los atentatorios contra bienes jurídicos individuales, porque además del patrimonio, la libertad individual, la intimidad, etc., se protege otro bien de naturaleza colectiva o supraindividual. La ejecución de tales hechos punibles no solo produciría efectos sobre el individuo, sino también sobre la sociedad, como titular de la información y los datos. Esta interpretación dual (individual y colectiva) del bien jurídico conduce a admitir que la comisión de un delito de hurto por medios informáticos y semejantes o de transferencia no consentida de activos, por ejemplo, produce, además de la pérdida patrimonial para un individuo, la lesión de la seguridad y la confianza que los ciudadanos deben tener en los sistemas informáticos, las redes de sistemas electrónicos y telemáticos y otros medios semejantes.

Conforme a esta construcción del delito, para la consumación del desvalor total del injusto típico de la mayoría de los delitos informáticos tipificados mediante la Ley 1273 de 2009 no basta la sola lesión o la puesta en peligro del bien jurídico individual, sino que se exige también que el resultado cause al menos peligro para un bien jurídico de carácter colectivo, que en este caso lo es el señalado por la seguridad en los medios informáticos.

Se trata, entonces, de los denominados bienes jurídicos intermedios, respecto de los cuales Tiedemann señalaba como ejemplo el tutelado en el delito de estafa informática, cuya configuración dogmática es muy parecida a la de transferencia no consentida de activos, que estaría constituido también por el correcto procesamiento de los datos electrónicos, que es tenido como un instrumento imprescindible de la vida económica moderna y el patrimonio económico⁶.

De acuerdo con tal modelo, ha de afirmarse que los delitos ampliamente citados tienen el compromiso de proteger el correcto funcionamiento de los sistemas informáticos con trascendencia en el ámbito de intereses individuales, porque al dársele expresa tutela al bien jurídico de la información y los datos, basta que cada uno de los comportamientos típicos individuales constituya la superación de las medidas de seguridad informática para que se los tenga como una verdadera puesta en peligro abstracto de aquel bien jurídico supraindividual⁷.

III. EL SUJETO ACTIVO EN LOS DELITOS CONTRA LA INFORMACIÓN Y LOS DATOS

A. GENERALIDADES

Sujeto activo es quien realiza el comportamiento que lesiona o pone en peligro el interés tutelado en lo jurídico-penal, el que puede ser determinado (cualificado) o indeterminado (no cualificado). El primero es quien tiene la especial condición o cualificación reclamada por el tipo penal de manera expresa, como servidor público, productor, distribuidor, deudor, tutor, etc., que caracteriza a los delitos especiales. Sujeto activo indeterminado (no cualificado) es quien no requiere ninguna calidad especial para ser sujeto agente del hecho punible, que se describe en los tipos de los delitos comunes.

La totalidad de los delitos tipificados en la Ley 1273 de 2009 se diseñan sin más exigencia respecto al sujeto activo que la de que sea persona humana, pues solo las personas físicas pueden delinquir, dado que son ellas quienes tienen capacidad de acción culpable.

La calidad del sujeto activo incide en la agravación de la punibilidad. En efecto, en el numeral 2 del artículo 269H se señala como circunstancia de agravación la calidad de servidor público del autor de cualesquier de los delitos descritos en el título VII bis del Código Penal; el numeral 2 ibidem agrava la pena si el autor es depositario de confianza del poseedor de la información o tiene un vínculo contractual con este; y, el numeral 8 de la misma norma describe como agravante que el sujeto agente sea el responsable de la administración, manejo o control de la información.

IV. EL SUJETO PASIVO EN LOS DELITOS CONTRA LA INFORMACIÓN Y LOS DATOS

Se ha afirmado que el bien jurídico que se protege es el de la relación de confianza que la sociedad debe tener en los sistemas informáticos, las redes de sistemas electrónicos y telemáticos y otros medios semejantes, es decir, en las tecnologías de la información y las comunicaciones. Por tanto, el sujeto pasivo en los delitos contra la información y los datos lo es la sociedad, como titular de dichos derechos.

Dado que mediante la tipificación de la mayoría de los delitos descritos en el título VII bis del Código Penal se tutela un bien jurídico intermedio, se amplía el concepto de sujeto pasivo en los delitos analizados, porque estos lesionan o ponen en peligro el bien jurídico supraindividual constituido, se repite, por la confianza en los datos y la información, cuyo titular es la sociedad, y, además, atentan contra intereses jurídicos individuales, cuyos titulares son sujetos pasivos de dichos delitos.

Si la conducta tipifica delitos como los de uso de software malicioso y suplantación de sitios de web para capturar datos, por ejemplo, el sujeto pasivo es uno solo: la sociedad o colectividad, por su condición de titular del bien jurídico supraindividual del correcto funcionamiento de los sistemas de la información y los datos; pero, cuando aquella tipifica, verbigracia, los delitos de acceso abusivo a un sistema informático, daño informático, hurto por medios informáticos y semejantes o transferencia no consentida de activos, son sujetos pasivos tanto la sociedad como titular del bien jurídico colectivo como la persona (natural o jurídica), por su condición de titular del interés jurídico individual, como la intimidad o el patrimonio económico, por ejemplo.

Existen eventos en los que los conceptos de sujeto pasivo y víctima coinciden, pero también hay situaciones en las que además del sujeto pasivo puede resultar damnificada otra persona, quien tendrá derecho a la indemnización de los perjuicios causados por el delito.

V. EL OBJETO MATERIAL EN LOS DELITOS CONTRA LA INFORMACIÓN Y LOS DATOS

Objeto material del delito es aquello sobre lo cual recae la acción que concreta la lesión o puesta en peligro del interés tutelado en lo jurídico-penal. Puede ser personal, real o fenomenológico. En el ámbito de los delitos contra la información y los datos tipificados en el capítulo primero del título VII bis y en el de transferencia no consentida de activos el objeto material es fenomenológico porque se define con conceptos como sistema informático, dato informático, emisiones electromagnéticas, software, programa de computación, datos personales, códigos personales, páginas electrónicas, enlaces o ventanas emergentes, sistemas de resolución de nombres de dominio y cualquier activo, mientras que en el delito de hurto por medios informáticos y semejantes el objeto material es real porque lo constituye el mismo del delito de hurto, es decir, la cosa mueble⁸.

VI. LA PARTE OBJETIVA Y SUBJETIVA DEL TIPO DE INJUSTO EN LOS DELITOS CONTRA LOS DATOS Y LA INFORMACIÓN

A. EL ACCESO ABUSIVO A UN SISTEMA INFORMÁTICO

1. ANTECEDENTES

El Código Penal de 2000 por primera vez tipifica de manera expresa conductas relacionadas con la protección del sistema informático y sus elementos materiales, como los soportes lógicos, en el título III, que protege el bien jurídico de la libertad individual y otras garantías. En efecto, el artículo 195, De la violación a la intimidad, reserva e interceptación de comunicaciones, señala: Acceso abusivo a un sistema informático. El que abusivamente se introduzca a un sistema informático protegido con medida de seguridad o se mantenga contra la voluntad de quien tiene derecho a excluirlo, incurrirá en multa.

A su turno, en el artículo 199 del capítulo de los delitos contra la libertad de trabajo y asociación, del mismo título III, se brinda tutela a las bases de datos y los soportes lógicos, como un adelanto a la tutela que a estos brindará luego la Ley 1273 de 2009.

Sin embargo, ha de subrayarse que en este estatuto penal no se crea el bien jurídico de la información y los datos recibidos, elaborados, procesados, conservados y transmitidos mediante las tecnologías de la información y las comunicaciones, porque mediante los citados delitos se protegía, por un lado, la libertad de utilización de las citadas tecnologías y la intimidad, y por el otro, la libertad de trabajo. Es decir, a la información se le tenía como objeto de protección penal, pero no como bien jurídico.

El transcrito artículo 195 del Código Penal fue derogado por el artículo 4.º de la Ley 1273 de 2009, pero tal derogación no dejó sin protección el sistema informático, pues el artículo 269A, adicionado por la citada ley, creó el delito de acceso abusivo a un sistema informático, en términos similares a los del artículo abolido, que se analizará a continuación.

El artículo 269A del Código Penal, adicionado por el 1.º de la Ley 1273 de 2009, a la letra dice:

Acceso abusivo a un sistema informático. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho de excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.

VII. EL BIEN JURÍDICO

El bien jurídico del delito de acceso abusivo a un sistema informático no es únicamente de característica supraindividual, dado que no solo busca tutelar el interés social que se tiene en la seguridad de la información y los datos, que consiste en la integridad, confidencialidad y disponibilidad de estos, sino también de índole individual, porque protege el bien jurídico de la libertad y otras garantías, que se concreta, en primer lugar, en la libertad informática, que consiste en el derecho que tiene toda persona de recibir, elaborar, modificar, conservar y transmitir información y datos, es decir, a la autodeterminación informática, que caracteriza la libertad de disponer de aquellos y decidir cuáles datos de carácter personal pueden ser obtenidos y tratados por otros; y, en segundo, en el derecho a la intimidad⁹, porque corresponden al campo íntimo y cerrado de una persona, a quien le asiste, de manera exclusiva, la facultad de seleccionar los terceros autorizados para conocer de la información. Por tal razón, el legislador en principio situó el delito de acceso abusivo a un sistema informático (art. 195) en el título III de los Delitos contra la libertad individual y otras garantías, concretamente en el capítulo séptimo, De la violación a la intimidad, reserva e interceptación de comunicaciones.

Se trata, entonces, de los denominados bienes jurídicos intermedios, porque la conducta típica se dirige a lesionar de manera inmediata un bien jurídico supraindividual o colectivo, constituido por la integridad, confidencialidad y disponibilidad de los datos y los sistemas informáticos, y de manera mediata el bien jurídico individual (la libertad individual y otras garantías), que de cara a este delito está constituido por el respeto a un ámbito de la vida privada que debe quedar al margen del conocimiento ajeno y de las intromisiones de la tecnología, salvo autorización de su titular.

VIII. TIPO PENAL OBJETIVO

A. CONDUCTA

La descripción del artículo 269A del Código Penal, sin duda, fue inspirada en el contenido del artículo 2, capítulo I, de la Convención de Budapest de 23 de noviembre de 2001, referida a infracciones contra la confidencialidad, integridad y disponibilidad de los datos y sistemas informáticos, que afirma:

Artículo 2. Acceso ilícito. Los Estados firmantes adoptarán las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito en su derecho interno el acceso deliberado e ilegítimo a la totalidad o a una parte de un sistema informático. Cualquier Parte podrá exigir que el delito se cometa infringiendo medidas de seguridad, con la intención de obtener datos informáticos o con otra intención delictiva, o en relación con un sistema informático que esté conectado a otro sistema informático.

Se trata de una modalidad típica de intrusismo informático, que se refiere a las conductas atentatorias contra la intimidad informática realizadas por un extraño o intruso, que consiste en:

[…] arrogarse ilegalmente —de forma no autorizada— el derecho o la jurisdicción de intrusarse o ingresar en un sistema informático o red de comunicación electrónica de datos, con la consecuente trasgresión de las seguridades dispuestas por el Webmaster o prestador del servicio al Webhosting u Owner, con el fin de proteger los servicios de transmisión, almacenamiento y procesamiento de datos que ofrece frente a posibles abusos de terceros (ingreso en cuentas de e-mail ajenas). Así como también la utilización o interferencia indebida de dichos equipos o sistemas informáticos o telemáticos, o la permanencia contumaz en los mismos por fuera de la autorización o del consentimiento válidamente emitido por el titular del derecho¹⁰.

El tipo penal describe dos conductas alternativas: 1) acceder en todo o en parte a un sistema informático y 2) mantenerse dentro de él en contra de la voluntad del usuario. A continuación, se analizarán estas dos modalidades.

1. EL ACCESO AL SISTEMA INFORMÁTICO

Entre las varias acepciones del verbo acceder, según el Diccionario de la lengua española, de la Real Academia Española, está la de ‘Entrar en un lugar o pasar a él’, que aplicada al verbo rector de esta modalidad de delito, consiste en ingresar sin la autorización debida a un sistema de tratamiento de la información, de manera directa o remota, con cualquier finalidad: divertirse, satisfacer una curiosidad, cumplir el reto de poderlo hacer, demostrar sus habilidades de hacker, es decir, que podía superar las medidas de seguridad o descifrar los códigos de acceso o passwords y causar daño.

La conducta de hacking consiste en acceder de forma no autorizada o más allá de lo autorizado a un sistema informático o red de telecomunicación electrónica de datos o interferir en él¹¹. El intruso actúa orientado por el deseo de vencer el reto intelectual de superar barreras del sistema, y satisface sus anhelos con el solo hecho de enterarse de su contenido.

Se trata de un delito de mera conducta y de modalidad instantánea, porque se entiende consumado cuando el sujeto agente logra superar la seguridad y el control informáticos, sin que importe que su propósito sea solo vencer los mecanismos de monitoreo y control, que se concreta cuando acceda al sistema informático, o realizar, además, otras conductas lesivas del mismo bien jurídico propias del hacker o cracker, como las de sabotaje informático, que consiste en borrar, suprimir o modificar datos, sin la autorización debida, u obstaculizar el acceso normal al sistema, por ejemplo, lo que podrá dar lugar a un concurso de tipos penales. Con la realización de la conducta de acceder, el autor tiene el control del sistema.

2. EL MANTENIMIENTO DENTRO DEL SISTEMA INFORMÁTICO

La otra modalidad de la conducta alternativa tipificada por el artículo 269A del Código Penal consiste en que el sujeto activo ha sido autorizado para acceder al sistema informático, pero se mantiene dentro de él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, o de manera no dolosa ingresa al sistema de otro y después de comprobar su ajenidad se mantiene ahí.

Respeto de esta forma de acceso abusivo a un sistema informático, pueden darse dos situaciones: 1) que el sujeto activo ha sido autorizado para acceder al sistema informático y se mantiene dentro de él contra la voluntad de quien tenga el legítimo derecho de excluirlo, y 2) que el sujeto activo no ha sido autorizado para ingresar al sistema informático, al que ha ingresado por caso fortuito o imprudencia, y se mantiene dentro de él.

Para la realización de la primera modalidad de comportamiento típico, el autor ha sido autorizado de forma debida para ingresar al sistema informático, es decir, por quien está facultado hacer tal permisión, pero en contra de la voluntad de quien le ha dado tal facultad permanece de manera arbitraria, engañosa o clandestina en él. Esta forma de acceso abusivo al sistema informático se configura cuando concurran los siguientes elementos:

a. Autorización de ingreso al sistema informático. El sujeto activo de esta modalidad delictiva ha de ser facultado por la persona titular del sistema informático o por la autorizada para ello, para acceder al sistema informático ajeno.

b. Límites a la autorización de ingreso al sistema informático. El otorgante de la autorización para ingresar al sistema informático ajeno ha de fijar límites, tales como el horario de permanencia en el sistema, el tiempo de duración del acceso, etc., pues si no se fijan restricciones no puede decirse que el mantenimiento dentro de él sea típico.

c. Permanencia en el sistema contra la voluntad de quien está facultado para excluirlo. El sujeto autorizado para ingresar al sistema informático se mantiene dentro de él rebasando aquellos límites, contra la voluntad de quien le otorgó tal facultad, quien, a su turno debe manifestar de manera expresa su decisión de exclusión. Esa permanencia puede hacerse de manera arbitraria, engañosa o clandestina.

La segunda modalidad de este comportamiento típico se configura cuando se dan las siguientes circunstancias:

a. Inexistencia de autorización de ingreso al sistema informático. El sujeto activo de esta modalidad delictiva no está facultado por la persona que tiene el legítimo derecho de autorizar el acceso al sistema informático o de excluir de él, para realizar la conducta de ingreso a dicho sistema.

b. Acceso al sistema informático de manera fortuita o imprudente. Conforme a esta circunstancia, el ingreso al sistema no puede ser doloso, porque si el sujeto realiza la conducta de acceso a sistema ajeno con conocimiento de que lo ejecuta y voluntad de cumplirlo, se da la primera de las modalidades delictivas analizadas, es decir, el acceso abusivo a un sistema informático.

c. Permanencia en el sistema contra la voluntad de quien está facultado para excluirlo. El sujeto no autorizado para ingresar al sistema informático se mantiene dentro de él contra la voluntad de quien tiene facultad de autorizar el acceso.

B. SUJETO ACTIVO

El sujeto activo en la modalidad de acceso sin autorización o por fuera de lo autorizado es indeterminado (no cualificado), porque el tipo no señala ninguna condición respecto del autor, que lo puede ser cualquier persona; pero en lo que hace a la forma de mantenimiento dentro del sistema informático, se exige la condición de haber sido autorizado para ingresar al sistema, que no abandona no obstante la exigencia que en tal sentido le hace quien tiene el legítimo derecho a excluirlo.

Desde luego, la calidad del sujeto activo incide en la agravación de la punibilidad, porque en el numeral 2 del artículo 269H se señala como circunstancia de agravación la calidad de servidor público del autor de cualquiera de los delitos descritos en el título VII bis del Código Penal; el numeral 3 ibidem agrava la pena si el autor es depositario de confianza del poseedor de la información o tiene un vínculo contractual con él; y, el numeral 8 de la misma norma describe como agravante que el sujeto agente sea el responsable de la administración, el manejo o el control de la información.

C. SUJETO PASIVO

El sujeto pasivo del delito de acceso abusivo al sistema informático es el titular del respectivo bien jurídico protegido. En este delito no se exige ninguna cualidad del sujeto pasivo diferente de la de ser el usuario del sistema informático al que accede, sin autorización o por fuera de lo acordado, el sujeto activo del delito.

Se explicó antes que mediante el delito analizado se tutela un bien jurídico intermedio, porque su estructura hace que la conducta se dirija a producir la inmediata lesión de un interés de naturaleza supraindividual, la cual, además, causa la mediata lesión o puesta en peligro de otro bien jurídico de naturaleza individual (la libertad individual y otras garantías). Esto amplía el concepto de sujeto pasivo en el delito de acceso abusivo a un sistema informático, porque comprende al titular del interés en la confianza en los datos y la información, es decir, a la sociedad, y al titular del interés jurídico de la libertad individual y la intimidad, que lo es el usuario del respectivo sistema informático.

D. OBJETO MATERIAL

El objeto material del delito de acceso abusivo a un sistema informático es fenomenológico, porque se define con el concepto de sistema informático.

El Convenio sobre Ciberdelincuencia del Consejo de Europa, de 23 de noviembre de 2001, en el artículo 1.a define el concepto de sistema informático como todo dispositivo aislado o conjunto de dispositivos interconectados o unidos, que aseguran, en ejecución de un programa, el tratamiento automatizado de datos.

Todos los estudiosos del tema coinciden al señalar que el sistema informático es el conjunto de elementos o partes interrelacionados que permiten el almacenamiento, tratamiento y procesamiento automático de la información; como también se señala que dicho sistema está integrado por los componentes físico, lógico y humano¹². Constituye el componente físico el hardware, conformado, a su turno, por elementos tangibles, como el computador, los procesadores, los sistemas de comunicación y elementos eléctricos, electrónicos, mecánicos, electromecánicos, etc. El componente lógico lo es el software, que es inmaterial, constituido por los programas de cómputo y los procedimientos que permiten realizar diversas tareas sobre los datos. Y, el componente humano se refiere a las personas que crean, mantienen y manipulan el sistema, tales como analistas, programadores, operarios, etc., y sus usuarios.

El sistema informático puede o no estar protegido con una medida de seguridad, porque mientras en el artículo 195 del Código Penal, que tipificó el delito de acceso abusivo a un sistema informático, se estipuló que debía estar protegido, en el artículo 269A de manera expresa se señala que el sistema puede o no tener dicha protección. Por tanto, si el usuario del sistema no lo protege no puede decirse que hay una competencia de la víctima o autopuesta en peligro del bien jurídico de la información y los datos, porque la ley penal colombiana brinda tutela penal a los sistemas informáticos protegidos o no con medida de seguridad.

Conviene señalar que el objeto material de este delito no lo constituye la información ni los datos, dado que si el intruso realiza alguna conducta que los dañe o ponga en peligro, esta puede desplazarse a otro tipo penal, dando lugar, por tanto, a un concurso efectivo con otras modalidades de delito, como el daño informático, por ejemplo.

El acceso abusivo o el mantenimiento dentro de él contra la voluntad del usuario, como ya se subrayó, ha de tener como objeto la totalidad o solo parte del sistema informático.

IX. TIPO SUBJETIVO

El delito de acceso abusivo a un sistema informático es solo doloso, dado que el sujeto ha de realizar la conducta con conocimiento y voluntad de cumplir todos los elementos objetivos del tipo y no solo el resultado. De parte del sujeto activo debe existir la voluntad de acceder a un sistema informático ajeno, pues si llegara a ingresar a él de manera accidental o fortuita, la conducta sería atípica desde el punto de vista subjetivo; salvo que, una vez que el sujeto haya comprobado que de dicha forma ha ingresado al sistema informático ajeno, decida mantenerse dentro de él en contra de la voluntad del usuario, porque en tal evento no hay duda de que la conducta se torna en dolosa respecto de la modalidad de mantenimiento dentro del sistema informático. Por tanto, este delito no admite la modalidad de culpa.

Además, el tipo penal no describe elementos subjetivos especiales o ingredientes subjetivos, pues no se exige respecto del sujeto agente una especial actitud respecto de su conducta.

SEGUNDA PARTE

OBSTACULIZACIÓN ILEGÍTIMA DE SISTEMA INFORMÁTICO O RED DE TELECOMUNICACIÓN

I. BIEN JURÍDICO

El bien jurídico del delito de obstaculización ilegítima de sistema informático o red de telecomunicaciones es, por un lado, colectivo o supraindividual, porque tutela el interés social en la seguridad y confianza en la información y los datos, que, como se ha repetido, consiste en la integridad, confidencialidad y disponibilidad de estos, y, por otro, de carácter individual, porque vela por el interés de la libertad informática, que se concreta en el derecho que tienen todas las persona de acceder a un sistema informático, a los datos informáticos contenidos en él o a una red de telecomunicaciones, el cual es de índole individual porque protege el bien jurídico de la libertad y otras garantías, que consiste en la autodeterminación informática, que es el derecho que tiene toda persona de recibir, elaborar, modificar, conservar y transmitir información y datos. Es, por tanto, otro de los denominados bienes jurídicos intermedios.

II. TIPO PENAL OBJETIVO

El artículo 269B lo describe en los siguientes términos:

Obstaculización ilegítima de sistema informático o red de telecomunicación. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor¹³.

A. CONDUCTA

El delito de obstaculización ilegítima de sistema informático o red de telecomunicación es de mera conducta y de modalidad permanente, porque esta se entiende consumada cuando el sujeto activo realiza el comportamiento que impide u obstaculiza el funcionamiento del sistema informático o el acceso normal a los datos informáticos o a una red de telecomunicaciones, sin que importe si el fin buscado por aquel sea no solo el de atentar contra el derecho que tiene el usuario de utilizar el servidor, sino también el de realizar otra conducta, como la de destruir, deteriorar, etc., datos contenidos en el sistema, lo que da lugar a un concurso del delitos.

El delito es permanente, porque su consumación crea una situación antijurídica que se extiende hasta cuando el autor deja de realizar la conducta de manera voluntaria o el usuario logra restablecer el servicio.

La conducta típica del delito de obstaculización ilegítima de sistema informático o red de telecomunicación se rige por los verbos impedir y obstaculizar. Impedir, según el Diccionario de la lengua española, de la Real Academia Española, es ‘Estorbar, imposibilitar la ejecución de una cosa. 2. Suspender, embargar’; obstaculizar es ‘Impedir o dificultar la consecución de un propósito’.

A pesar de que las citadas expresiones pudieran ser calificadas de sinónimas, dada la descripción típica se les ha de asignar diferentes significaciones. En efecto, el impedir el funcionamiento o el acceso normal a un sistema informático, a los datos o una red de telecomunicaciones ha de entenderse como imposibilitar, al menos durante el tiempo que dure la realización de la conducta, toda posibilidad de dicho funcionamiento y acceso; mientras que la obstaculización es poner cortapisas para dificultarlos. Desde luego que las dos conductas se concretan en no permitir el funcionamiento normal del sistema o el acceso a él de parte del usuario o de quien tenga derecho a hacerlo; lo mismo que en dificultar el funcionamiento de una red de telecomunicaciones o el acceso a ella

Diversos medios pueden ser empleados por el sujeto activo, tales como la utilización de programa malicioso (malware), diseñado para dificultar el funcionamiento del sistema informático o el acceso a él, o a una red de telecomunicaciones, que se puede ejecutar mediante la introducción de virus informáticos, programas espía, troyanos y gusanos, por ejemplo¹⁴. Igualmente mediante el denominado ataque de denegación de servicio, que consiste en acometer contra un sistema de computadores o red, mediante la saturación de los puertos y la invasión de la red, para sobrecargar el servidor y dificultar el funcionamiento del sistema informático, dado que causa una lentitud de internet que imposibilita la continuación de la prestación del servicio, motivada por la cantidad de solicitudes, por ejemplo¹⁵; por esta razón se le llama denegación, porque la saturación del sistema por medio de muchas solicitudes de utilización de sus recursos causa su bloqueo, lo que le impide al usuario disfrutar de sus servicios o acceder a los datos contenidos en el servidor o a la red de telecomunicación, es decir, produce la afectación del uso.

El delito de obstaculización ilegítima de sistema informático o red de telecomunicaciones se rige por una pluralidad de conductas de carácter alternativo, a saber: 1) impedir u obstaculizar el funcionamiento de un sistema informático; 2) impedir u obstaculizar el acceso normal a un sistema informático; 3) impedir u obstaculizar el acceso a los datos informáticos contenidos en el sistema informático; 4) impedir u obstaculizar el funcionamiento de una red de telecomunicaciones y el acceso normal a ella; y 5) impedir u obstaculizar el acceso normal a una red de telecomunicaciones. A continuación, se explican dichas conductas.

1. Impedir u obstaculizar el funcionamiento de un sistema informático. Si funcionamiento es, según el Diccionario de la lengua española, de la Real Academia Española, ‘Acción y efecto de funcionar’, y funcionar, de acuerdo con el mismo diccionario, es ‘Ejecutar una persona, máquina, etc., las funciones que le son propias’, ha de concluirse que la realización de esta modalidad de conducta consiste en estorbar el funcionamiento del sistema informático o imposibilitar sus funciones.

2. Impedir u obstaculizar el acceso normal a un sistema informático. Esta modalidad de conducta consiste en no permitir el ingreso de quien tiene derecho a un sistema de tratamiento de la información, de manera directa o remota.

3. Impedir u obstaculizar el acceso a los datos informáticos contenidos en el sistema informático e impedir y obstaculizar el funcionamiento de los datos. Si por dato se entiende cualquier representación de hechos, información o conceptos de una forma que permita el tratamiento informático, incluido un programa diseñado para que un sistema informático ejecute una función¹⁶, ha de inferirse que esta forma de comportamiento consiste en imposibilitar o dificultar el ingreso a la base de datos (input) o a su procesamiento o salida (output) u obstaculizar el ingreso a los ficheros¹⁷.

4. Impedir u obstaculizar el funcionamiento de una red de telecomunicaciones y el acceso normal a ella. Si una red de telecomunicaciones consiste en la infraestructura física mediante la cual se transporta la información desde la fuente hasta el destino, ha de entenderse que para impedir u obstaculizar su funcionamiento o el acceso normal a esta ha de llevarse a cabo conducta que consista en afectar sus elementos físicos.

El artículo 14 del Decreto Ley 1900 de 1990 establece:

La red de telecomunicaciones del Estado es el conjunto de elementos que permite conexiones entre dos o más puntos definidos para establecer la telecomunicación entre ellos, y a través de la cual se prestan los servicios al público. Hacen parte de la red los equipos de conmutación, transmisión y control, cables y otros elementos físicos, el uso de los soportes lógicos, y la parte del espectro electromagnético asignada para la prestación de los servicios y demás actividades de telecomunicaciones.

Existen varias maneras de obstaculización de una red de telecomunicaciones, las cuales, por lo general, afectan los elementos físicos de esta, porque dicha red está integrada por elementos de tal carácter.

Desde luego que las dos conductas se concretan en no permitir el funcionamiento normal del sistema o el acceso a él de parte del usuario o de quien tenga derecho a hacerlo; lo mismo que en dificultar el funcionamiento de una red de telecomunicaciones o el acceso a ella.

B. SUJETO ACTIVO

El sujeto activo del delito de obstaculización ilegítima de sistema informático o red de telecomunicaciones es indeterminado, porque el tipo penal no fija ninguna cualificación respecto del autor, razón por la cual se trata de un delito común o de dominio y no especial o de infracción de deber.

C. SUJETO PASIVO

Como el bien jurídico que se tutela mediante la tipicidad del delito de obstaculización ilegítima de sistema informático o red de telecomunicaciones es intermedio porque por un lado se protege la integridad, confidencialidad y disponibilidad de la información y los datos, que es de carácter supraindividual o colectivo, cuyo titular lo es la sociedad, y por otro, se tutela la libertad informática, que es de índole individual, ha de concluirse que el sujeto pasivo de este delito lo es la sociedad, como titular del interés en la confianza en los datos y la información, y el usuario (persona natural o jurídica) del sistema informático o dueño de la red de telecomunicaciones, como titular del interés jurídico de la libertad individual.

D. OBJETO MATERIAL

En el delito de obstaculización ilegítima de sistema informático o red de telecomunicaciones se describen tres objetos materiales: el sistema informático, los datos informáticos y la red de telecomunicaciones. Es decir, se describen dos objetos materiales fenomenológicos y un tercero que puede ser fenomenológico o real. Estos conceptos ya fueron definidos.

III. TIPO SUBJETIVO

El delito de obstaculización ilegítima de sistema informático o red de telecomunicaciones es solo doloso. No admite, por tanto, la modalidad culposa. El tipo penal no describe elementos subjetivos especiales o ingredientes subjetivos, pues no se exige respecto del sujeto agente una especial actitud respecto de su conducta.

TERCERA PARTE

INTERCEPTACIÓN DE DATOS INFORMÁTICOS

I. BIEN JURÍDICO

El bien jurídico del delito de interceptación de datos informáticos es intermedio. Por un lado, colectivo o supraindividual, porque tutela el interés social en la seguridad y la confianza en la información y los datos, que, como se ha repetido, consiste en la integridad, confidencialidad y disponibilidad de estos; y por el otro, de carácter individual, porque protege la intimidad, la confidencialidad de la información, la que solo ha de estar disponible para las personas autorizadas a tener acceso a esta.

II. TIPO OBJETIVO

El legislador colombiano tipificó el delito de interceptación de datos informáticos en el artículo 269C, así:

Interceptación de datos informáticos. El que, sin orden judicial previa intercepte datos informáticos en su origen, destino o en el interior de un sistema informático, o las emisiones electromagnéticas provenientes de un sistema informático que los trasporte, incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses.

A. CONDUCTA

Dado que dato informático es toda representación de hechos, informaciones o conceptos de una forma que permite su tratamiento por un sistema de información, incluidos los programas que sirven para hacer que dicho sistema de información realice una función¹⁸, por interceptación de él ha de entenderse la conducta del atacante que le facilita leer, insertar o modificar comunicaciones entre dos o más usuarios o sistemas cuando son remitidas del emisor al receptor o cuando se encuentran en el interior de un sistema informático o navegan por las emisiones electromagnéticas.

La interceptación se produce cuando un programa, proceso, sistema de cómputo o una persona accede a una parte del sistema para lo cual no tiene autorización, conducta que atenta contra la transmisión, emisión y recepción de los datos. Se dice que es el ataque contra la confidencialidad informática más difícil de detectar, porque en la mayoría de los casos no produce una alteración en el sistema informático.

Se describen cuatro conductas típicas: 1) interceptación de datos informáticos en su origen; 2) interceptación de datos informáticos en su destino; 3) interceptación de datos informáticos en el interior de un sistema informático; y 4) interceptación de datos informáticos en las emisiones electromagnéticas provenientes de un sistema informático que los transporte.

La conducta del delito analizado se rige por el verbo interceptar, que según el Diccionario de la lengua española, de la Real Academia Española, significa: ‘Apoderarse de una cosa antes de que llegue al lugar o a la persona a que se destina. 2. Detener una cosa en su camino. 3. Interrumpir, obstruir una vía de comunicación’.

Se trata de un delito de mera conducta y de modalidad instantánea porque esta se entiende consumada cuando el sujeto activo, sin orden judicial previa, realiza el comportamiento de interceptar, sin que importe si el fin buscado por él sea no solo el de acceder al sistema y enterarse del contenido de los datos, sino también el de apropiarse de estos cuando se emiten desde el sistema a un destinatario, se encuentran en el interior de dicho sistema, llegan a su destino o son trasmitidos en las emisiones electromagnéticas, sin que sea necesaria la conducta de apropiación.

Para la ejecución de esta conducta delictiva no se requiere que el sujeto agente cause daño informático, pues si además de la interceptación analizada el autor lleva a cabo alguna de las conductas reseñadas, se da un concurso efectivo de tipos penales.

B. SUJETO ACTIVO

El delito de interceptación de datos informáticos es común o de dominio, porque el tipo penal no señala ninguna cualificación respecto del autor.

C. SUJETO PASIVO

Se explicó antes que el bien jurídico tutelado mediante el tipo penal del delito de interceptación de datos informáticos es de los denominados intermedios, por lo cual la sociedad como titular del interés supraindividual y el individuo como titular de la integridad de los derechos de la libertad informática y la intimidad son sujetos pasivos de este delito.

D. OBJETO MATERIAL

El objeto material del delito de interceptación de datos está constituido por los datos informáticos, en su origen, destino, interior de un sistema informático o emisiones electromagnéticas. Se trata, por consiguiente, de un objeto material fenomenológico.

III. TIPO SUBJETIVO

El delito de interceptación de datos informáticos solo admite la modalidad dolosa. Por tanto, no es punible la conducta que se realce mediante culpa. Además, el tipo penal no describe elementos subjetivos especiales o ingredientes subjetivos.

CUARTA PARTE

DAÑO INFORMÁTICO

I. BIEN JURÍDICO

Mediante la descripción típica del delito de daño informático se pretende tutelar la seguridad de la información, entendida como el derecho a no sufrir injerencias externas en los datos o los sistemas de tratamiento de información o sus componentes lógicos, como interés de carácter supraindividual, por la gran implicación que estos tienen en el desarrollo global y la comunicación mediante las redes telemáticas, de los que dependen todas las actividades, tanto públicas como privadas; los que, a su turno, en la mayoría de las veces, ofrecen también garantía y protección a otros bienes jurídicos de carácter individual, como la intimidad o la tutela de datos de carácter personal.

II. TIPO OBJETIVO

El artículo 4 del Convenio sobre Ciberdelincuencia de Budapest del año 2001 dispone:

Atentados contra la integridad de los datos.

1. Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para prever como infracción penal, conforme a su derecho interno, la conducta de dañar, borrar, deteriorar, alterar o suprimir dolosamente y sin autorización los datos informáticos.

2. Las Partes podrán reservarse el derecho a exigir que el comportamiento descrito en el párrafo primero ocasione daños que puedan calificarse de graves.

A su turno, el artículo 5 del mismo Convenio dispone:

Atentados contra la integridad del sistema

Las Partes adoptarán las medidas legislativas o de otro tipo que se estimen necesarias para prever como infracción penal, conforme a su derecho interno, la obstaculización grave, cometida de forma dolosa y sin autorización, del funcionamiento de un sistema informático, mediante la introducción, transmisión, daño, borrado, deterioro, alteración o supresión de datos informáticos.

Acorde con las decisiones del Convenio sobre Ciberdelincuencia de Budapest del año 2001 (art. 4), la Ley 1273 de 2009 tipificó el delito de daño informático, en los siguientes términos:

Artículo 269D: Daño informático. El que, sin estar facultado para ello, destruya, dañe, borre, deteriore, altere o suprima datos informáticos, o un sistema de tratamiento de información o sus partes o componentes lógicos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.

A continuación, se hará el análisis típico de este delito informático.

A. CONDUCTA

Se tipifica el daño informático cuando la conducta del sujeto agente cause la alteración, destrucción, daño, borrado, deterioro o supresión de datos informáticos o el sistema de tratamiento de información o sus partes o componentes lógicos, que perjudique la funcionalidad del sistema informático. Puede darse mediante el método del sabotaje físico, que consiste en la destrucción o deterioro del equipo físico, por medio de acciones como el incendio o la destrucción de las instalaciones donde se encuentran los equipos informáticos, o mediante métodos del sabotaje lógico, como el uso de programas destructores que pueden borrar grandes cantidades de datos en un tiempo corto, como las denominadas bombas lógicas, el método Caballo de Troya, los virus informáticos, los denominados programas gusano" o worms, por ejemplo.

El artículo 269D describe una pluralidad de conductas, a saber: destruir, dañar, borrar, deteriorar, alterar o suprimir, cuyo objeto han de ser los datos informáticos o el sistema de tratamiento de información, o sus partes o componentes lógicos.

Destruir es hacer perder la forma de los datos y la información, de manera que se impida su utilización y recuperación, o la de los sistemas de información o sus partes o componentes lógicos.

Dañar significa cualquier forma de deterioro que no implique la destrucción ni la inutilización de los datos informáticos o de los sistemas de información o de sus partes o componentes lógicos, pues si la destrucción es total, la conducta encaja en la modalidad de destruir, mientras que si el deterioro es parcial, esta se desplaza a esta conducta típica. El daño puede recaer sobre los datos, los programas, las bases de información, los documentos electrónicos, etc., lo mismo que el sistema de tratamiento de información o sus partes o soportes lógicos¹⁹.

Borrar es hacer desaparecer lo representado con los datos informáticos, es decir, quitarlos de su sistema de tratamiento.

Deteriorar significa estropear los datos informáticos o el sistema de tratamiento de información o sus partes o componentes lógicos.

Alterar es modificar en todo o en parte el archivo de datos sin destruirlo en su totalidad.

Suprimir significa hacer desaparecer la totalidad o parte de los datos informáticos o del sistema de tratamiento informático, o de sus componentes lógicos.

Para la consumación de este delito es suficiente con la realización de una de las plurales conductas, las cuales son alternativas y no acumulativas.

El ataque puede realizarse de manera directa contra el software o el hardware, pues no se protege el patrimonio económico. Si se ataca el hardware (el ratón, el teclado, por ejemplo) y queda indemne el software, solo se ejecuta el delito contra el patrimonio económico.

El software malicioso o malware se refiere a un conjunto de códigos y programas que introducidos en el sistema informático producen daños a los datos y dificultan la operatividad y el funcionamiento de un sistema de tratamiento de la información.

Las conductas de daño informático se pueden llevar a cabo mediante programas destructores, que son virus, gusanos, troyanos, etc., empleados para destruir datos, cuyos resultados se reflejan en corto tiempo y con gran capacidad de detrimento.

B. SUJETO ACTIVO

El delito de daño informático es común o de dominio, dado que no señala ninguna cualificación respecto del sujeto activo.

C. SUJETO PASIVO

El bien jurídico del delito de daño informático pertenece a los denominados intermedios, cuyo carácter supraindividual lo constituye la integridad y disponibilidad de la información y los datos, que es supraindividual; mientras que el individual lo conforma la integridad del derecho de la libertad informática.

El sujeto pasivo, por tanto, por una parte, lo es la sociedad como titular del bien jurídico colectivo, y por otra, el titular del sistema informático, que puede ser una persona natural o jurídica, a quien se le coarta el derecho de crear datos informáticos y de disponer de estos, en las etapas de su manipulación, es decir, en la entrada, la programación, el procesamiento, la conservación, la salida y la comunicación electrónica.

D. OBJETO MATERIAL

El objeto material del delito de daño informático lo conforman los datos informáticos, el sistema de tratamiento informático y las partes o componentes lógicos de dicho sistema. Por tanto, es fenomenológico, pues está constituido por todo aquello que no es material, dado que la parte física del sistema informático, el hardware, no es objeto material de este delito, sino del de daño en bien ajeno.

El concepto de sistema informático gira en torno a sus componentes físicos y lógicos. Está constituido por el hardware, que está distribuido en los computadores, los periféricos y sistemas de comunicación; mientras que el componente lógico o software se refiere a todo aquello que no es materia y que lo constituye el conjunto de instrucciones escritas en lenguajes especiales, que facilitan el desempeño del hardware en torno a los datos, es decir, el sistema de gestión de base de datos.

El software es sinónimo de componente lógico, del cual forma parte el sistema de tratamiento de la información. El software es el soporte inmaterial de un computador, constituido por el sistema de tratamiento de información, que consiste en el soporte que posibilita la realización de las actividades de entrada, procesamiento automático, conservación y transmisión de la información.

Las partes o componentes lógicos del sistema de información están constituidos, entre otros, por las aplicaciones informáticas, tales como el procesador de texto y el sistema operativo, que básicamente permite al resto de los programas funcionar de manera correcta, además de facilitar la interacción entre los componentes físicos y el resto de las aplicaciones.

III. TIPO SUBJETIVO

El delito de daño informático admite solo la modalidad del dolo. Si el sujeto agente se representa la posibilidad de que su comportamiento cause, por ejemplo, el borrado de datos contenidos en el sistema y le es indiferente la producción del resultado, el que en efecto causa, se da el dolo eventual; lo mismo que en el caso de que el sujeto introduzca un virus en la red con la conciencia de que podrá afectar a algún usuario, lo que en realidad se da. El tipo penal del delito de daño informático no describe elemento subjetivo adicional.

QUINTA PARTE

USO DE SOFTWARE MALICIOSO

I. BIEN JURÍDICO

El bien jurídico del delito de uso de software malicioso solo tutela la confidencialidad, integridad y disponibilidad de los datos y la información, al que se pone en peligro por el solo hecho de que se realice alguna de las conductas típicas, condición que lo reviste del carácter de delito de peligro.

En la mayoría de los delitos informáticos analizados el bien jurídico es de los denominados intermedios, por las razones ampliamente señaladas, pero el de uso de software malicioso no tiene tal condición, porque solo se tutela la confidencialidad, integridad y disponibilidad de la información y los datos, sin que la protección se extienda a bienes jurídicos individuales.

II. TIPO OBJETIVO

El artículo 269E de la Ley 1273 de 2009 del Código Penal tipificó el uso de software malicioso en los siguientes términos:

Uso de software malicioso. El que, sin estar facultado para ello, produzca, trafique, adquiera, distribuya, venda, envíe, introduzca o extraiga del territorio nacional software malicioso u otros programas de computación de efectos dañinos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.

A continuación se analizarán los elementos típicos de este delito.

A. CONDUCTA

Las conductas típicas, son las siguientes:

Producir: significa fabricar el software malicioso u otro programa de computación de efectos dañinos.

Traficar: se refiere a comercializar con el malware.

Adquirir: es conseguir el software malicioso o el programa de computación dañino deseado.

Distribuir: consiste en entregar el software malicioso o el programa de computación de efectos nocivos como mercancía a los vendedores y compradores.

Vender: significa traspasar a otro por el precio convenido la propiedad del malware.

Enviar: es hacer que el software malicioso o el programa de computación de efectos dañinos sea llevado a alguna parte.

Introducir: entrar en el territorio nacional el malware.

Extraer: poner el software malicioso o el programa de computación de efectos dañinos fuera del territorio nacional.

Para la consumación del delito de uso de software malicioso basta con la realización de una de las plurales conductas, las cuales son alternativas y no acumulativas. Si el sujeto realiza varias acciones, como adquirir, vender, traficar, etc., no solo ejecuta uno, sino varios delitos, respecto de los cuales se da un concurso efectivo de hechos punibles y no uno aparente.

B. SUJETO ACTIVO

El delito de uso de software malicioso es de dominio o común porque no se exige ninguna cualificación respecto del sujeto activo. Desde luego que si el autor tiene alguna de las relaciones funcionales señaladas en circunstancias de agravación descritas en el artículo 269H (nums. 2 y 3), esta tendrá incidencia en la dosificación de la respectiva pena.

C. SUJETO PASIVO

Es delito protector de un bien jurídico de carácter supraindividual o colectivo, cuyo titular es la sociedad, la que, por consiguiente, es el sujeto pasivo del delito de uso de software malicioso.

D. OBJETO MATERIAL

El tipo penal del delito de uso de software malicioso describe como objetos materiales los de software malicioso y otros programas de computación de efectos dañinos. Se trata, por tanto, de un objeto material fenomenológico. Se entiende por software

La expresión de un conjunto de instrucciones mediante palabras, códigos, planes o en cualquier otra forma que, al ser incorporadas en un dispositivo de lectura automatizada, es capaz de hacer que un ordenador, un aparato electrónico o similar capaz de elaborar informaciones, ejecute determinada tarea u obtenga determinado resultado. El programa de ordenador comprende también la documentación técnica y los manuales de uso²⁰.

El software malicioso es un programa de computación diseñado para dañar un equipo o una red. Hoy por hoy existe gran variedad de programas maliciosos, entre los cuales están los virus, el gusano informático o Worm, el conejo, el Caballo de Troya, las bombas lógicas, etc. Conviene señalar que cada software malicioso es el objeto material del respectivo delito, pues si se trata de varios programas de computación fabricados para causar daño, la producción de cada uno de ellos tipifica un delito, que da lugar al concurso efectivo de hechos punibles.

El concepto de programa de computación de efectos dañinos puede ser abarcado por el de software malicioso, pues en informática programa es sinónimo de software, es decir, el conjunto de instrucciones que desarrolla un computador; de modo que el término software malicioso comprende todas las modalidades de programas diseñados para causar daño a un equipo, un sistema de información o una red.

III. TIPO SUBJETIVO

El delito de uso de software malicioso es solo doloso, pues no admite la modalidad de imprudente, la que, por tanto, es atípica. El tipo penal de este delito no describe elemento subjetivo adicional.

SEXTA PARTE

VIOLACIÓN DE DATOS PERSONALES

I. BIEN JURÍDICO

El bien jurídico del delito de violación de datos personales es de los denominados intermedios, porque tiene la doble condición de supraindividual o colectivo e individual, dado que la vulneración del derecho a la intimidad, a su turno, pone en peligro el del colectivo de la información y los datos.

II. TIPO OBJETIVO

El artículo 269F del Código Penal, adicionado mediante el artículo 1.º de la Ley 1273 de 2009, preceptúa:

Violación de datos personales. El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.

A continuación se hará el análisis de la tipicidad de este delito informático.

A. CONDUCTA

El delito de violación de datos personales es de resultado, porque la conducta se entiende consumada cuando el sujeto agente haya realizado una o varias de las conductas descritas en el tipo penal y, además, obtenido provecho propio o de un tercero; de modo que para la consumación del delito no es suficiente la realización de la conducta típica, sino que se requiere también que el sujeto logre el provecho. Con todo, si el sujeto activo lleva a cabo la conducta con el fin de obtener provecho, el que puede ser de cualquier naturaleza, dado que no se restringe solo al de carácter económico, y no logra concretar tal propósito, la conducta constituye tentativa.

La descripción de la conducta típica del delito de violación de datos personales es de forma abierta y alternativa, porque se señala una pluralidad de conductas y la realización de una de ella da lugar a la consumación del delito. Son verbos rectores de este delito, los siguientes: obtener, compilar, sustraer, ofrecer, vender, intercambiar, enviar, comprar, interceptar, divulgar, modificar y emplear, cuyas conductas han de recaer sobre los códigos o datos personales contenidos en ficheros, archivos, base de datos o medios semejantes.

El