A partir de 1999 hay legislación a nivel federal que sanciona los delitos informáticos en México, según directora del despacho IT Lawyers, Ivonne Muñoz.
En opinión de la abogada especializada en ciberseguridad, el sector financiero es el que más ha trabajado en leyes especiales que se refieren a la comisión de este tipo de ilícitos.
Los delitos informáticos son actos ilegales cometidos mediante el uso inadecuado de la tecnología, que atentan contra la privacidad de la información de terceros, al dañar o extraer cualquier tipo de datos que se encuentren almacenados en servidores o dispositivos.
Las organizaciones afectadas por este tipo de ilícitos pueden enfrentar la interrupción de la continuidad del negocio, pérdidas financieras o golpes a su reputación. Pero no es todo, también tienen consecuencias legales más profundas, que en muchos casos desconocen o desestiman su aplicabilidad.
Los tipos de delitos informáticos
Para Cynthia Solís, una de las socias de la firma legal especializada en derecho informático LEXINF, en líneas generales hay dos tipos de delitos informáticos: aquellos que tienen como finalidad destruir; alterar; modificar, o extraer información de manera no autorizada de los sistemas informáticos, y los del orden común que se cometen a través de nuevas tecnologías.
En entrevista, Solís explicó que en la segunda clasificación entra el phishing, que jurídicamente es un concurso de delitos; es decir, diferentes crímenes que se cometen en un mismo momento. Por ejemplo, detalló, cuando una persona recibe una liga apócrifa con una alerta de su banco que dice que tiene un cargo no reconocido, le pide que entre a ese enlace con sus claves para revisarlo o rechazarlo.
El hecho de copiar o clonar la apariencia de una página web ya es un delito en materia de derechos de autor, pero lo que se busca realmente es cometer el delito de fraude: apoderarse de un bien a través del engaño o aprovechando el error de la persona.
El fraude se puede cometer a través de medios electrónicos o físicos. Ese es un delito federal del orden común.
Más de una ley los tipifica
Los delitos informáticos en México no aparecen en una sola ley. Como Muñoz comentó, son las legislaciones federales las que principalmente los contemplan, pero no son las únicas.
El Código Penal Federal mexicano incluye una sección, el Título noveno, referente a la revelación de secretos y acceso ilícito a sistemas y equipos de informática. En su segundo capítulo, se tipifica dichas conductas.
La Ley de Instituciones de Crédito también contempla sanciones para este tipo de ilícitos. Muñoz recordó el caso de la vulneración al SPEI en abril de 2018, para el que apuntó que puede analizarse desde varios aspectos, uno de ellos es el laboral.
“Desde el punto de vista de ciberseguridad, hubo acceso no autorizado a información privilegiada”, indicó.
Además, existe la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPP), que establece un tratamiento especial para información que, de divulgarse de manera indebida, afectaría la esfera más íntima del ser humano.
Dicha ley y el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) garantizan el derecho de protección de datos personales.
¿Cuáles son los delitos informáticos en México?
A continuación se enlistas algunos de los delitos informáticos tipificados en México por las distintas leyes:
1. Acceso ilícito a sistemas y equipos de informática
El artículo 211 Bis 1 del Código Penal Federal a fin de sancionar “al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad.
También castiga “al que sin autorización conozca o copie información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad”.
El artículo 211 Bis 2 sanciona las mismas conductas, pero “en sistemas o equipos de informática del Estado“, mientras que el Bis 3 castiga las mismas conductas pero de quien esté “autorizado para acceder a sistemas y equipos de informática del Estado”.
2. Objetivos financieros
En los artículos 211 Bis 4 y 5 del Código Penal Federal tipifican los mismos delitos, pero en sistemas o equipos de informática a las instituciones que integran el sistema financiero.
La Ley de Instituciones de Crédito, en su artículo 112 Quáter se castiga “a quien acceda a los equipos o medios electrónicos, ópticos o de cualquier otra tecnología del sistema bancario mexicano, para obtener recursos económicos, información confidencial o reservada, o altere o modifique el mecanismo de funcionamiento de los equipos o medios electrónicos, ópticos o de cualquier otra tecnología para la disposición de efectivo de los usuarios del sistema bancario mexicano”.
En tanto, el artículo 112 Quintus añade una pena mayor si quien realice alguna de las conductas señaladas “tiene el carácter de consejero, funcionario, empleado o prestador de servicios de cualquier institución de crédito, o las realice dentro de los dos años siguientes de haberse separado de alguno de dichos cargos”.
3. Ley Olimpia
El 3 de diciembre de 2019 se aprobó en el Congreso de la Ciudad de México la llamada “Ley Olimpia”, un conjunto de reformas a códigos penales de las entidades federativas, así como a la Ley general de acceso de las mujeres a una vida libre de violencia.
Estas reformas reconocen la violencia digital como un tipo de delito que consiste en actos de acoso, hostigamiento, amenazas, vulneración de datos e información privada, así como la difusión de contenido sexual (ya sean fotos, videos o audios), sin el consentimiento o mediante engaños a una persona.
Para marzo de 2020, la Ley Olimpia ya estaba vigente en 16 estados de la República Mexicana: Puebla, Yucatán, Ciudad de México, Oaxaca, Nuevo León, Querétaro, Baja California Sur, Aguascalientes, Estado de México, Guerrero, Coahuila, Chiapas, Zacatecas, Veracruz, Guanajuato y Tlaxcala. Actualmente está en debate en Sonora y se espera que este mes ingrese como reforma al Código Penal de Tamaulipas.
3. Protección de datos personales
Si bien, cualquier particular, ya sea persona física o moral (un colegio, un hospital, un médico, una aseguradora, un banco, una compañía telefónica, entre muchos otros) puede tratar datos personales, todos ellos deben observar las disposiciones previstas en la ley.
Se define «tratamiento de datos personales» a cualquier operación que se realice con tus datos, desde su obtención, uso, divulgación, almacenamiento y hasta su cancelación y supresión.
Cabe señalar que no están sujetos a las disposiciones de esta ley: las sociedades de información crediticia (buró de crédito) debido a que ya se encuentran reguladas por la Ley de las Sociedades de Información Crediticia, así como quienes traten (personas físicas o morales) los datos con fines exclusivamente personales, sin afán de divulgarlos o utilizarlos de manera comercial, como sería el caso del directorio telefónico de los amigos y contactos personales.
En la LFPDPP se establece que “los poseedores de los datos deben dar a conocer a los titulares, la información que de ellos se recaba y los fines para los cuales serán utilizados sus datos, a través del aviso de privacidad”.
La normativa indica que se deben establecer y mantener las medidas físicas, técnicas y administrativas para proteger la información personal ante el daño, pérdida, alteración, destrucción o uso no autorizado. Las organizaciones no pueden adoptar medidas de seguridad inferiores a las que implementan para proteger su propia información.
En caso de incumplimiento se podrán imponer sanciones desde 100 a 320,000 días de multa y/o de tres meses a tres años de cárcel a cualquier persona autorizada para procesar datos personales que, con fines de lucro, provoque una violación de seguridad que afecte a las bases de datos; de seis meses a cinco años de cárcel a cualquier persona que, con el objetivo de obtener ganancias ilegales, procese los datos personales engañosamente.
Desde hace 40 años se habla de delitos informáticos
La referencia a los delitos informáticos se remonta a 1983, cuando se dieron los primeros intentos de establecer leyes asociadas a los crímenes informáticos.
La Organización para la Cooperación y el Desarrollo Económico (OCDE) designó en París a un comité de expertos para discutir los crímenes que tuvieran como centro a las computadoras y la necesidad de hacer cambios en los códigos penales.
La OCDE recomendó a los países miembros modificar su legislación penal para integrar este tipo de delitos. La legislación de los delitos informáticos en México se demoró casi 20 años, pero en los últimos años ha habido esfuerzos por actualizarse.
La estrategia nacional es comparable con la de otros países
Aún cuando México ha sido criticado por no incorporar más delitos relacionados con tecnología, sigue la tendencia de países como Francia, que ha tenido un gran avance.
El país galo tiene una agencia nacional de seguridad informática desde 2009. En 2015 se publicó en español la Estrategia Nacional Francesa para la seguridad del ámbito digital, que está basada en una ley de república digital. Algo similar a la visión del sexenio pasado de la estrategia digital nacional.
En Estados Unidos, mientras tanto, existe el mismo modelo que en México: no hay como tal un catálogo especializado de delitos, no hay una ley de delitos informáticos, pero en la práctica se incorporan o se adecuan algunos tipos penales comunes al entorno informático.
