Compilación de documentos presentados para los Congresos de Derecho e informática. Trabajo presentado en el I Congreso Mundial de Derecho Informático. Organizado por la Comunidad Alfa-Redi y la OMDI en Quito-Ecuador. Del 15 al 18 de Octubre de 2.001. Derechos reservados a favor del autor, se prohíbe cualquier reproducción total o parcial que no sea autorizada por el titular de los derechos. UNA APROXIMACIÓN AL HACKING. TIPO PENAL SIMPLE Y AGRAVADO RESUMEN Esta ponencia intenta analizar un elemento constitutivo de los delitos electrónicos que hoy resulta esencial en la mayoría de las legislaciones del mundo a fin de evitar superposiciones y falta de punibilidad por diferencias en las calificaciones de los posibles actos violatorios de bienes jurídicos que deben ser protegidos, el tipo penal. Como resulta imposible resumir en un solo trabajo todos los tipos penales a crear, se ha restringido el ámbito de investigación a la modalidad específica conocida universalmente como hacking por considerarse que este tipo de actos representan hoy los más dañosos de los de posible comisión y además porque su análisis implica una clasificación amplia que incluye varios tipos penales diferenciados en un tipo básico y cuatro categorías de agravados, con lo cual el espectro de aplicación resulta sumamente protectivo de muchas actividades que a la fecha no se encuentran normadas. Espero a través del presente establecer las bases a fin de que en un futuro se establezca una legislación penal internacional lo suficientemente unificada como para evitar que este tipo de actos pueda seguir ocurriendo impunemente como sucede a la fecha. Dr. Gabriel A. Cámpoli Abogado DESARROLLO Algunas consideraciones etimológicas Para comenzar el presente, se hace necesario conocer, al menos en forma simplificada el significado de algunos términos de reciente factura en el vocabulario jurídico y laboral de las redes informáticas. Por ello para comprender a que se refiere el vocablo hacking, debemos remitirnos a su raíz fonética en su lengua matriz que es el inglés. Hack: Hacha, azuela, cuchilla. /Tajar, cortar, picar.(Diccionario Sopena INGLES - CASTELLANO, Ed. Sopena Argentina - 1.997). Una primera aproximación nos indicaría que el verbo to hack tendría como acepción simple del inglés genérico cortar o tajar. Pues bien que tendría esto que ver con una acción que pudiere ser tipificada en adelante como delito. Posiblemente nada si nos quedáramos con el significado literal, pero todo aquel que alguna vez haya navegado por la red ha oído de ciertos siniestros personajes llamados hackers que se dedican a “cortar” las defensas preestablecidas de los equipos informáticos ajenos o de las páginas web para poder de esa forma introducirse y “espiar” la información ajena o bien producir daños que pueden llegar al borrado total de los datos del equipo al cual se le han “cortado” las defensas. El bien jurídico protegido. Siempre que se hable de que una acción es antijurídica, se hace necesaria la referencia a cual es el bien jurídico que ella ataca. Por regla general, en los tipos penales clásicos, se hace una referencia directa a un bien específico, honor, propiedad, intimidad, vida, libertad, etc. que suelen estar incluidos en las Constituciones de los países occidentales y en los tratados de derechos humanos. ¿Cuál sería en este caso el bien que se intenta proteger al penalizar estas acciones? La respuesta no es tan simple como en la mayoría de los delitos comunes, ya que a prima facie al menos existen dos bienes vulnerados en forma simultánea por este tipo de acciones: la intimidad y la propiedad. La primera se ve conculcada por el simple ingreso de un tercero no autorizado a un equipo informático ajeno, ya que trazando una parábola, advertiremos que la gravedad de este hecho puede compararse con la violación de correspondencia (Según la C.N. Argentina la correspondencia y los papeles privados son inviolables), delito que ataca expresamente la privacidad, al penetrar en una esfera de conocimientos reservada expresamente a su titular. Por otro lado si el sujeto activo produce además algún anomalía funcional o extrae de forma ilegítima autorización de ese equipo al cual ingresa, se ve profanada la propiedad, ya que se produce un daño o bien si se extrae información se produce un detrimento patrimonial sobre el sujeto pasivo aunque este no pierda en realidad la posesión efectiva de la cosa, pues ella permanece de todas formas en su equipo, pero esta pasa también a estar en poder del sujeto activo. Esta extraña situación de sustracción sin desapoderamiento de la cosa – datos para ser más específico – se produce por la capacidad de repoducción con que cuentan los equipos informáticos que hace inaplicable los tipos penales ordinarios de robo o hurto. Cuando la Ley no existe se hace necesario el desarrollo de los tipos específicos. Es cuestión sabida que los tipos penales para esta clase de acciones - que son jurídicamente reprochables por atentar, al menos, contra dos bienes constitucionalmente protegidos – no se encuentran definidos en casi ninguna legislación mundial. A esos efectos corresponde analizar cual sería la figura básica que se impondría aplicar y cuales los tipos agravados. Si nos remitimos a la definición llana veremos que la acción elemental consiste en “cortar” (to hack) las barreras prefijadas para evitar los ingresos no deseados, por ello se puede inducir que esa es la acción base de todo este tipo de delitos. ¿Resulta penalmente reprochable este tipo de actos?. Sí ya que es una clara violación del derecho a la intimidad y haciendo una parábola con el robo y la violación de domicilio, advertiremos que la simple intromisión no autorizada en un equipo ajeno es al hacking destructivo lo que la violación de domicilio al robo en inmueble, la figura residual de un delito contra la propiedad que protege la intimidad del sujeto pasivo. Por otra parte siempre que nos encontremos ante una acción de las catalogadas como delitos informáticos electrónicos (V. Ponencia presentada en este mismo congreso: “Hacia una correcta hermenéutica penal: Delitos electrónicos Vs. Delitos Informáticos), la acción mínima para la configuración de cualquiera de los tipos posibles implica, al menos, un acceso ilegítimo a equipos ajenos. Se podría acotar que la simple intrusión informática (o hacking simple) es un mero acto preparatorio, a lo cual se debe contraponer el hecho de que ella ya penetra en el campo de un bien jurídico que debe ser protegido como lo es la intimidad, razón por la cual debe considerársela como un tipo básico autónomo y no como acto preparatorio para otros delitos de mayor lesión jurídica. De lo expresado podemos extraer la figura y el tipo penal primigenio y residual de este tipo de acciones lesivas de los derechos del sujeto pasivo. Intrusión Simple: “Es la acción consistente en el acceso no autorizado a un equipo informático ajeno o una página web de propiedad de un tercero, por cualquier medio, cuando el sujeto activo no produjere con ella ningún daño o fuere motivado por fines que puedan considerarse incluidos en otro tipo penal más grave, como así tampoco produjere algún detrimento en derechos intelectuales del sujeto pasivo.” Según se desprende de la definición anterior, la figura mínima puede verse agravada por cuatro situaciones: a) La producción de daños. b) El fin específico de la intrusión. c) La consecución de un resultado específico. d) La violación de derechos intelectuales. La producción de daños En este caso particular nos encontraríamos ante la figura más clásica del hacking, la cual consiste en violar la seguridad de un equipo o página web a fin de producir el borrado de información contenida en el mismo o cualquier otro daño, sin más fin que la producción del evento dañoso mismo, que podemos definir como: Daño Electrónico Simple (Hacking simple): “Es la acción en la cual el sujeto activo, luego de introducirse de forma no autorizada en equipo electrónico o página web ajena, produce algún detrimento patrimonial mediante el menoscabo de la integridad física o lógica de cualquiera de ellos sin más motivo que la producción misma del daño”. La agravante descripta se corresponde con la expresa conculcación de dos bienes jurídicos: la intimidad y el patrimonio. El fin del autor En este tópico nos referimos expresamente a los casos en que el autor produce la intrusión con un fin distinto a la simple producción del daño, como por ejemplo un fin económico o cualquier otro que no se corresponda directamente con producir un simple detrimento patrimonial por inutilización total o parcial del equipo o página a la cual se fuerza el acceso. Aquí encontramos los que posiblemente sean los más graves delitos del género, ya que el sujeto activo ingresa en forma ilegítima a fin de obtener un beneficio para sí o un tercero, cualquiera que sea éste. (patrimonial, personal, de exclusión de una base de datos, etc.) Quizás en este punto es donde mayor dificultad exista para una correcta tipificación ya que de conseguirse el fin buscado por el autor nos encontraríamos ante distintas figuras. Para un correcto encuadre penal corresponde entonces definir el presente de la siguiente manera: Intrusión agravada por la finalidad (Hacking económico o agravado por la finalidad): “Es la acción consistente en el acceso no autorizado a un equipo informático ajeno o una página web de propiedad de un tercero, por cualquier medio, cuando el sujeto activo lo hiciere a fin de obtener un beneficio económico o de cualquier otro tipo para sí o un tercero.” Es cierto que en algunas legislaciones este tipo de acciones puedan ser consideradas como tentativa de los delitos agravados por la consecución de un resultado determinado, pero ante la mutabilidad de los medios y los resultados sería de buena práctica legislativa el utilizar el agravante propuesto. La consecución de un resultado En este caso particular, tenemos dos posibilidades – al menos a la fecha no se registran antecedentes de otras, lo cual no implica que las mismas no puedan existir - : 1) La obtención de un beneficio patrimonial ilegítimo. 2) La adulteración de información propia o de un tercero. 1) Robo electrónico: “Es la acción en la cual el agente se apodera ilegítimamente de bienes o dinero del sujeto pasivo, por medio de la utilización de medios informáticos.” 2) Fraude electrónico: “Es la acción en la cual el sujeto activo modifica o adultera por cualquier medio la información contenida en el equipo o página web del sujeto pasivo a fin de inducir al mismo a un error en su procesamiento o bien obtener de ella un beneficio económico para sí o un tercero.” Por obvias razones considero que los dos últimos conforman los tipos penales más graves del género. La violación de derechos intelectuales En este punto entramos a un campo más complejo, ya que en materia de derechos intelectuales no todas las legislaciones otorgan igual protección a los mismos. Salvando esas posibles disimilitudes en materia de propiedad intelectual, es positivo introducir la tutela penal de los mismos a efectos de evitar las posibles – y hoy muy comunes – violaciones que los mismos reciben. Robo de información: “Es la acción por la cual el autor obtiene información reservada al sujeto pasivo, contenida en un equipo o página web de propiedad del mismo y realiza copias de la misma u otra utilización comercial o particular para la cual no se encuentra autorizado.” Hacia una legislación concreta Si bien puede decirse que quizás el presente no contempla todos las acciones jurídicamente reprochables clasificadas como delitos electrónicos, se apunta a la creación de la conciencia legislativa general de qué acciones lesionan bienes jurídicos que deben ser protegidos a fin de obtener una legislación penal lo más uniforme posible en términos internacionales para evitar que las disimilitudes entre los distintos ordenamientos punitivos produzcan situaciones como las existentes a la fecha en las que ante la falta de una correcta y similar tipificación penal resulta casi imposible la extradición o aún la persecución de los delitos que nos ocupan, cuestión en la cual, por razones estrictamente territoriales se escudan los actuales hackers a fin de obtener la impunidad de su ilegítimo accionar, causando daños que en muchos casos resultan millonarios. RECOMENDACIONES Como corolario del presente me permito recomendar la utilización internacional unificada de los tipos penales en cuanto a delitos electrónicos se trata a fin de evitar posibles contraposiciones que eviten la punibilidad de los hechos que a diario generan en empresas, gobiernos y usuarios particulares pérdidas irreparables en términos de tiempo, dinero y esfuerzo personal o grupal. A esos efectos propongo la utilización de los tipos penales contenidos en la presente a fin de crear una legislación específica en la materia, según corresponda a cada sistema jurídico. Gabriel Andrés Cámpoli Estudio Jurídico: Cámpoli & Asociados - Alsina 886 – (9000) Comodoro Rivadavia – CHUBUT – TE (0297) 447-5830 Títulos Obtenidos: Martillero Público: STJCh – 21/12/90 Abogado: U.N.P.S.J.B – 05/02/99 Antecedentes Relacionados con la Temática: Actor y Patrocinante en las demandas realizadas en contra de “Mercado Libre.com”, “De Remate.com”, “Oportunidades.com”, “La Compu.com” y “El Sitio.com” por ilicitud de la actividad de subastas on line Actor y Patrocinante en la demanda realizada en contra de “Decidir.com” por violación del Derecho a la Intimidad Actor y Patrocinante en el fallo de la CSJN “Cámpoli, Gabriel A. c/ DeRemate.com s/ Sumarísimo” que determina la competencia de los Juzgados Federales para las actividades desarrolladas en la Red. (01/06/00) Miembro organizador del Colegio de Martilleros de la ciudad de Comodoro Rivadavia (en formación) Miembro del Plantel de Martilleros Públicos de la Municipalidad de la Ciudad de Comodoro Rivadavia Disertante en el Congreso “Legislación y Jurisprudencia en Internet”, organizado por el Institute for International Research (Buenos Aires, 31 de Octubre y 1° de Noviembre de 2000) Ponencias presentadas y aceptadas: VI Jornadas de Informática y Derecho del foro de Abogados de San Juan – 3,4 y 5 de Octubre de 2.001 – San Juan Argentina. – Títulos: 1) Naturaleza Jurídica de las Subastas On Line 2) Fraudes en subastas on line ¿Virtualidad delictiva o realidad vulnerada?