Story Transcript
UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA La Universidad Católica de Loja
ÁREA SOCIO HUMANÍSTICA TÍTULO DE ESPECIALISTA EN DERECHO PROCESAL PENAL
Teoría del Caso de los delitos que afectan a las instituciones del sistema financiero, cometidos a través de medios informáticos y electrónicos
TRABAJO DE FIN DE TITULACIÓN. AUTOR: Sempértegui Fernández, Luis Fernando DIRECTOR: Torres Regalado, Enrique Tiberio, Dr.
CENTRO UNIVERSITARIO QUITO
2015
APROBACIÓN DEL DIRECTOR DEL TRABAJO DE FIN DE ESPECIALISTA
Doctor Enrique Tiberio Torres Regalado DOCENTE DE LATITULACIÓN
De mi consideración:
El presente trabajo de fin de especialista denominado: “Teoría del Caso de los delitos que afectan a las instituciones del sistema financiero, cometidos a través de medios informáticos y electrónicos”, realizado por Luis Fernando Sempértegui Fernández, ha sido orientado y revisado durante su ejecución, por cuanto se aprueba la presentación del mismo. Azogues, abril del 2015.
f)………………………………..
ii
DECLARACIÓN DE AUTORÍA Y CESIÓN DE DERECHOS
Yo, Luis Fernando Sempértegui Fernández, declaro ser autor del presente trabajo de fin de especialidad: “Teoría del Caso de los delitos que afectan a las instituciones del sistema financiero, cometidos a través de medios informáticos y electrónicos”, de la Titulación Especialidad en Derecho Procesal Penal, siendo el Doctor Enrique Tiberio Torres Regalado director del presente trabajo; y, eximo expresamente a la Universidad Técnica Particular de Loja y a sus representantes legales de posibles reclamos o acciones legales. Además certifico que las ideas, conceptos, procedimientos y resultados vertidos en el presente trabajo investigativo, son de mi exclusiva responsabilidad.
Adicionalmente, declaro conocer y aceptar la disposición del
Art. 88 del Estatuto
Orgánico de la Universidad Técnica Particular de Loja que en su parte pertinente textualmente dice: “Forman intelectual
de
parte del patrimonio de la Universidad la propiedad
investigaciones,
trabajos científicos o técnicos y tesis de grado que se
realicen con el apoyo financiero, académico o institucional (operativo) de la Universidad”.
f)…………………………………………………….. Autor: Luis Fernando Sempértegui Fernández. Cédula: 171124800-3
iii
AGRADECIMIENTO
Mi eterna gratitud a quienes me han apoyado en esta etapa decisiva de crecimiento, en mi formación personal y profesional: mis padres, mi hermano, mi familia. También agradezco a todos aquellos seres queridos que son y seguirán siendo para mí, un ejemplo permanente de bondad, de virtud y de coraje frente a la adversidad: mi hermana y mis abuelos, siempre presentes en mi corazón.
iv
DEDICATORIA
La presente tesina representa una culminación madura de una etapa laboral y de arduo estudio, dedicado a la construcción de estructuras para buenas prácticas bancarias, por lo que me permito dedicar esta pequeña obra, a la sociedad ecuatoriana, como un aporte en la búsqueda de la mejor comprensión de las nuevas tecnologías que caracterizan las operaciones del sistema financiero nacional en relación a sus clientes, y el tratamiento que debe darse a las mismas, para identificar y prevenir los delitos que se cometen a través de medios informáticos y electrónicos.
v
ÍNDICE DE CONTENIDOS
Página Carátula
i
Aprobación del Director del Trabajo de Fin de Especialidad
ii
Declaración de autoría y cesión de derechos
iii
Agradecimiento
iv
Dedicatoria
v
Índice de contenidos
vi
RESUMEN
1
ABSTRACT
2
INTRODUCCIÓN
3
CAPÍTULO I: DELITOS INFORMÁTICOS PERPETRADOS A TRAVÉS DE SISTEMAS INFORMÁTICOS Y ELECTRÓNICOS
5
1.- Definición de delito informático
6
2.- Clasificación de los delitos informáticos
8
3.- Problemas especiales en la persecución de los delitos informáticos
16
CAPÍTULO II: DELITOS INFORMÁTICOS Y ELECTRÓNICOS QUE AFECTAN A LAS INSTITUCIONES DEL SISTEMA FINANCIERO, ESTABLECIDAS EN EL NUEVO CÓDIGO ORGÁNICO INTEGRAL PENAL
17
1.- El nuevo Código Orgánico Integral Penal y la doctrina final de la acción
18
2.- Los delitos patrimoniales e informáticos en el nuevo Código Orgánico Integral Penal con relación al ámbito bancario
19
2.1. Delitos patrimoniales que se cometen por medios informáticos
19
2.2. Delitos informáticos y electrónicos que afectan a los clientes, actividades y 21
productos del sistema financiero CAPÍTULO III: TEORÍA DEL CASO DE LOS DELITOS INFORMÁTICOS Y ELECTRÓNICOS QUE AFECTAN A LAS INSTITUCIONES DEL SISTEMA
29
FINANCIERO 1.- ¿Qué es la teoría del caso?
30
2.- Componentes o elementos de la teoría del caso
31
vi
Página 2.2. Elemento fáctico
31
2.1. Elemento probatorio
32
2.3. Elemento jurídico
32
3.- Desarrollo de la teoría del caso, en dos (2) ejemplos prácticos aplicados al sistema bancario, de delitos cometidos a través de medios informáticos y electrónicos, desde las perspectivas estratégicas de la Fiscalía y de la defensa del procesado.
33
N° 1: Teoría del caso de la Fiscalía
33
N° 2: Teoría del caso de la defensa del procesado
43
CAPÍTULO IV: CADENA DE CUSTODIA EN LOS DELITOS INFORMÁTICOS Y ELECTRÓNICOS QUE AFECTAN A LAS INSTITUCIONES DEL SISTEMA FINANCIERO
54
1.- ¿Qué es la cadena de custodia?
55
2.- Evidencia digital y sus diferencias con la prueba documental
56
3.- Proceso de cadena de custodia de las evidencias o indicios de los delitos informáticos y electrónicos que afectan al sistema bancario ecuatoriano.
58
3.1. Conservación de la evidencia informática
59
3.2. Conservación de la evidencia de medios electrónicos
61
CONCLUSIONES
63
RECOMENDACIONES
67
BIBLIOGRAFÍA
71
vii
RESUMEN
En la presente investigación se realiza un análisis teórico práctico, a la luz del nuevo Código Orgánico Integral Penal, de los escenarios del delito informático y del delito electrónico. El lugar de los hechos en los delitos de apropiación ilícita por medios informáticos es un escenario virtual en donde destaca el punto o lugar de origen de los ataques, el uso de computadores o servidores informáticos para efectos de perpetrar el delito, y las cuentas de los clientes de los bancos como destino de los ataques. Así mismo, en los delitos que se consuman atacando canales electrónicos, se instalan aparatos conocidos como skimmer. Estos aparatos copian los datos e información de los clientes cuando utilizan sus tarjetas de débito o crédito, falsificando posteriormente la identidad electrónica del usuario y clonando su tarjeta para retirar fondos de su cuenta.
Esta investigación describe y evalúa los mejores métodos y estrategias de construcción de una Teoría del Caso; esquema fáctico, probatorio y jurídico que permite litigar con eficacia, tanto al abogado defensor (público o privado) como a la Fiscalía, en materia de delitos informáticos y electrónicos. PALABRAS CLAVES: Teoría del Caso, apropiación ilícita, skimming, escenario virtual, canales electrónicos, identidad electrónica, clientes bancarios.
1
ABSTRACT
The present research carries out a theoretical/practical analysis of cybercrime and electronic crime; analysis based on the new Ecuadorian “Integral Penalty Law Code”. These felonies of misappropriation take place in a virtual environment, where the following elements are considered as important: the place where the attacks are originated, the use of computers or computer servers to perform the crime, and the bank accounts which are targets of these attacks. Likewise, in felonies achieved by attacking electronic devices, criminals use a gadget known as the “skimmer”. This gadget copies the clients’ information when a credit or debit card is used. Subsequently, the criminals clone these cards and then falsify the electronic identity of the users in order to withdraw funds from their accounts. This research describes and evaluates the best methods and strategies to ensemble a Case Theory; a factual, probative and legal scheme that allows both the attorney (public or private) and the prosecutor, to litigate efficiently on cybercrimes and electronic crimes.
KEY WORDS: Case Theory, Misappropriation, skimming, virtual environment, electronic means, electronic identity, bank clients.
2
INTRODUCCIÓN
Los delitos perpetrados a través de sistemas informáticos, canales y dispositivos electrónicos, son muy comunes en la actualidad. Este tipo de infracciones afectan de manera grave a los clientes e instituciones del sistema financiero nacional privado y constituyen un tipo de delincuencia especial, suscitada en un escenario distinto al de otros ilícitos (se desenvuelve a través de redes y canales informáticos o electrónicos). La finalidad de estos delitos es la apropiación ilícita de los dineros que han sido confiados por la ciudadanía a los bancos, afectando a su patrimonio, y, minando a su vez, la confianza que el público tiene puesta en el sistema bancario.
La Teoría del Caso en el contexto del nuevo Código Orgánico Penal Integral (COIP) hace posible determinar con eficacia los elementos con los cuales debe contar la Fiscalía para poder establecer, desde los puntos de vista jurídico, fáctico y probatorio, la sustentación de la materialidad del delito cometido, y la responsabilidad o imputabilidad a los responsables del ilícito; elementos que exige la ley penal para que se dicte sentencia que declare la culpabilidad y se aplique la correspondiente pena.
Este tema tiene relevancia en la sociedad, por lo que su estudio contribuye a establecer una estrategia de apoyo al combate de los delitos contra el patrimonio perpetrados por medios informáticos y electrónicos. Muchas veces, la falta de conservación del elemento probatorio en este tipo de infracciones, genera que la Fiscalía se vea disminuida en cuanto a su intervención en las distintas fases del proceso penal, y que muchos casos se desestimen o archiven por causa de una incorrecta conducción de la investigación penal de este tipo de delitos.
En la actualidad, es importante para el buen ejercicio profesional de los abogados y para el eficiente desempeño de los fiscales, la elaboración de una teoría fáctica y jurídica adecuada para los delitos informáticos y electrónicos, que les permita sustentar eficientemente ante los jueces, la verificación de los elementos del tipo penal, en concordancia con los hechos fácticamente determinados, para que se establezca sin duda alguna, la adecuación típica correcta de los hechos constitutivos del delito informático o electrónico, sea para que se determine la responsabilidad del sujeto o sujetos imputados, o para que se ratifique su estado de inocencia.
3
Los elementos constitutivos de materialidad que generan los tipos penales correspondientes a los delitos patrimoniales que se cometen a través de medios informáticos y electrónicos que afectan a los clientes de las instituciones del sistema financiero nacional, configuran una nueva forma de perpetrar el delito, a través de la eliminación de la identidad real del delincuente informático, cuya volición en busca de un resultado dañoso, se verifica en la utilización de elementos empleados para violentar las seguridades informáticas y electrónicas de los productos bancarios que utilizan los clientes de las instituciones del sistema financiero nacional. La IP (Internet Protocol) y las redes informáticas, constituyen el nuevo escenario en el cual se debe determinar científicamente, cuáles son los mecanismos que permiten realizar la consumación de los tipos penales correspondientes a los delitos de estafa electrónica, apropiación ilícita por medios informáticos y, los delitos que se cometen contra la seguridad de los activos de
los sistemas de información y comunicación. El
conocimiento pericial es vital para el diagnóstico de la existencia de estos delitos y la determinación de sus posibles responsables.
Otro tema de singular interés para el sistema de justicia ecuatoriano, es el correcto uso de la cadena de custodia, y, la obtención,
conservación y almacenamiento adecuado de los
elementos probatorios, tanto en delitos que utilizan el software como medio o finalidad, así como en los delitos en que se utilizan o se afectan los medios electrónicos, especialmente en los ilícitos que afectan a los clientes de las instituciones del sistema financiero nacional.
Este estudio desarrolla en su contenido, la doctrina que sustenta la teoría jurídica de los delitos informáticos y electrónicos y los instrumentos internacionales que esbozan políticas de combate y prevención de la ciberdelincuencia; se enfoca también en el análisis jurídico de las figuras de los delitos patrimoniales que se cometen a través de medios informáticos y de los delitos que se cometen en contra la seguridad de los activos de los sistemas de información y comunicación constantes en el COIP; se examina y se aplica la metodología de la Teoría del Caso para los delitos informáticos y electrónicos desde la óptica de la Fiscalía y de la del abogado defensor de los procesados; y, se establecen los parámetros del correcto manejo de la cadena de custodia, esto es, las medidas de extracción, conservación y almacenamiento que deben utilizarse para la preservación de la evidencia material o virtual que deja como huella la comisión de los delitos informáticos y electrónicos.
4
CAPÍTULO I DELITOS INFORMÁTICOS O PERPETRADOS A TRAVÉS DE SISTEMAS INFORMÁTICOS Y ELECTRÓNICOS
1.- Definición de delito informático El tratadista Luis Azaola Calderón1 diferencia aquellos delitos que se cometen en contra del software y en contra del hardware de un computador, respecto de los delitos ejecutados contra la memoria de los ordenadores. Los actos de agresión en contra de los elementos materiales del sistema computacional, constituyen daños contra la propiedad, mientras que los delitos que son perpetrados en contra del software, afectan financieramente en particular a las empresas que son dueñas de los programas informáticos. Finalmente, los delitos en contra de los datos que reposan en la memoria de un computador, afectan patrimonialmente a las personas.
No comparto con el citado autor la relevancia discreta que le presta a los delitos que se cometen por vía internet, la cual la refiere al atentado en contra de sistemas informáticos gubernamentales. En la actualidad, y particularmente en el Ecuador, el internet y las plataformas informáticas han servido como base de la comisión de infracciones “a distancia”, dándole un carácter internacional a la extracción ilícita de fondos de clientes de las instituciones del sistema financiero nacional.
El cibercrimen se ha convertido en una modalidad usual de atentado en contra de los dineros de personas y empresas, siempre buscando las maneras de quebrar las seguridades y sistemas de protección que los bancos y otras instituciones financieras implementan para ofrecer una correcta custodia de estos fondos de sus clientes. Es el delincuente sin rostro el que aparece en escena en estos delitos, en los cuales apenas asoma
la cara visible de un primer beneficiario (generalmente se trata de quien recibe el
dinero como producto de la transacción fraudulenta en su cuenta bancaria), dudoso testaferro de quienes a nivel internacional manejan y promueven las raíces del crimen informático. Otro tipo de análisis es el que realiza Juan Carlos Riofrío Martínez-Villalba2, quien establece diferencia entre aquellos medios informáticos que constituyen documentos (información de carácter “virtual”, soportada dentro de un medio físico como un disco duro o servidor, que
1
Azaola Calderón, Luis. (2010). Delitos Informáticos y Derecho Penal (pp. 21-22). México: Ubijús.
2
Riofrío Martínez Villalba, Juan Carlos. (2004). La Prueba Electrónica (pp. 34-37). Bogotá, Colombia: Temis.
6
tiene carácter documental), frente a la información de escritura que podría generarse, por ejemplo, cuando existe error en el sistema informático, o bien frente al hardware, que es la parte física del computador. Este tratadista deduce qué tipo de evidencia informática puede constituir prueba o elemento de convicción dentro de juicio: “Los documentos informáticos que cumplen la función del docere3, son verdaderos documentos. Al ser documentos son naturalmente aptos para arrojarle algún grado de evidencia al juzgador, y por consiguiente, finalmente pueden llegar a constituirse como medio de prueba dentro del proceso”. (Riofrío, 2004, p.34).
En la realidad jurídica ecuatoriana, el modo en que se prueba un delito informático cometido en contra de clientes de una institución del sistema financiero, es, normalmente, a través de una pericia informática o electrónica de extracción de los datos de las transacciones calificadas como ilícitas o no autorizadas; de igual manera, en el caso de alteraciones y manipulación de cajeros automáticos, se realiza la experticia electrónica que demuestra la alteración de la máquina conocida como Automatic Teller Machine (en adelante ATM o cajero automático), de su teclado, dispensador y dispositivo electrónico de lectura de tarjetas, pudiendo llegarse a detectar la instalación de diversos dispositivos de filmado y copiado de claves electrónicas, o de extracción o alteración de los datos que descansan en los discos duros de estas máquinas. El mismo Juan Carlos Riofrío, citando a Feldman y Kohn4, explica que es necesario adoptar las siguientes medidas para recolectar y conservar la información electrónica:
a) Informar cuanto antes a quienes tengan el control de las computadoras que contienen evidencia informática de ella, para que procuren no borrarla; b) Realizar con alguna frecuencia backups (copias de los programas) en soportes duros, como cintas magnéticas, discos compactos u ópticos de una sola grabación, etc.; c) Recolectar los datos en una inspección informática, y de ser posible, agendas electrónicas y correos electrónicos que suelen contener copias de información borrada;
3
Juan Carlos Riofrío se refiere con docere, a los elementos intelectuales de un documento que expresan la intencionalidad y la expresividad de su autor. Los otros elementos, según la clasificación del tratadista Núñez Lagos a quien cita este autor, son los pertenecientes al corpus y corresponden al soporte material y a la grafía.
4
Joan E. Feldman y Rodger I. Kohn, citados por Juan Carlos Riofrío, Ibíd., p. 150.
7
d) Preguntar a todos los testigos sobre el uso que le daban a las computadoras las personas que las tenían bajo su control; e) Sacar imágenes lógicas del disco duro con relativa frecuencia, para poder reconstruir más fácilmente la información borrada; f) Preservar y custodiar los equipos electrónicos, de tal manera que la información no pueda ser alterada; y, g) Contratar a un experto para que descubra la mayor cantidad de evidencia posible.
En cuanto se refiere a las transacciones de clientes de las instituciones del
sistema
financiero ecuatoriano, la conservación de los logs o registros históricos de estas operaciones, es fundamental al momento de determinar técnicamente, si el origen y destino de las transacciones bancarias tuvo un proceder fraudulento. Las direcciones IP (Internet Protocol) que se lleguen a detectar en el análisis técnico informático, son indispensables para conocer si el delito fue perpetrado a nivel nacional o en el exterior; sin perjuicio de señalar que el primer presunto sospechoso de la infracción es aquel sujeto beneficiario de los dineros transferidos vía Internet, desde la cuenta de un cliente bancario, sin su conocimiento, consentimiento, ni acción alguna de su parte. 2.- Clasificación de los delitos informáticos
El Décimo Congreso de las Naciones Unidas sobre Prevención del Delito y Tratamiento del Delincuente, llevado a cabo en Viena, del 10 al 17 de abril del 2014, estableció la existencia de dos subcategorías de delitos cibernéticos: a)
Delito
cibernético
en
sentido estricto
(“delito
informático”):
Todo
comportamiento ilícito que se valga de operaciones electrónicas para atentar contra la seguridad de los sistemas informáticos y los datos procesados por ellos; y, b) Delito cibernético en sentido lato (“delito relacionado con computadoras”): Todo comportamiento ilícito realizado por medio de un sistema o una red informáticos, o en relación con ellos; incluidos los delitos como la posesión, el ofrecimiento o la distribución ilegales de información por medio de un sistema o una red informáticos.
8
Analizando la clasificación establecida por la ONU y siguiendo al jurista Diego Salamea Carpio5, tenemos como resultado la siguiente clasificación de tipos de delitos informáticos:
a)
Fraudes cometidos mediante manipulación de computadoras
Manipulación de los datos de entrada: Este tipo de fraude informático conocido también como sustracción de datos, representa el delito informático más común ya que es más fácil de cometer y difícil de descubrir. Este delito no requiere de conocimientos técnicos concretos de informática y puede realizarlo cualquier persona que tenga acceso a las funciones normales de procesamiento de datos en la fase de adquisición de los mismos.
Manipulación de programas: Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos de informática. Este delito consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un método común utilizado por las personas que tienen conocimientos especializados en programación informática es el denominado “caballo de Troya”, que consiste en insertar instrucciones de computadora de forma encubierta en un programa informático para que pueda realizar una función no autorizada al mismo tiempo que su función normal. Un virus troyano ingresa en el sistema informático de un computador de forma aparentemente inofensiva (por ejemplo a través de un archivo adjunto en un mensaje recibido mediante correo electrónico) y una vez en el sistema del destinatario se activa y se convierte en una herramienta que, desde adentro, abre todas las puertas para que el atacante pueda tomar control total del sistema. Manipulación de los datos de salida: Se efectúa fijando dispositivos extraños funcionamiento de un sistema informático. El ejemplo más común es el
al
fraude
de que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos. Tradicionalmente estos fraudes se realizan a tarjetas bancarias robadas;
sin
embargo, actualmente se usan ampliamente equipos y programas de computadora 5
Salamea Carpio, Diego. (2013). El Delito Informático y la Prueba Pericial Informática (pp. 82-90). Quito: Editorial Jurídica del Ecuador.
9
especializados para codificar información electrónica falsificada en las bandas magnéticas de las tarjetas de débito y de las tarjetas de crédito. Fraude efectuado por manipulación informática: Aprovecha las
repeticiones
automáticas de los procesos de cómputo. Es una técnica especializada mediante la cual se debitan cantidades muy pequeñas de dinero de una cuenta, transfiriéndose a otra. Este tipo de fraude se conoce en la legislación alemana como como “estafa informática”, diferenciándose del tipo penal básico de la estafa, por la utilización de la tecnología informática que produce el perjuicio económico a través de la sustitución falsa de la conducta del titular del derecho; sin embargo, al igual que el tipo básico de la estafa, requiere para su consumación de la producción del daño patrimonial, cualquiera sea la modalidad que asuma la interferencia con los códigos, instrucciones y programas. Diego Salamea Carpio6, citando a los tratadistas Gabaldón y Becerra, dice: “A diferencia de la delincuencia convencional, donde la aproximación física y la fragmentación temporal son fundamentales, mediante estas tecnologías se genera un entorno de ejecución sin desplazamiento físico del delincuente y mediante condensación temporal e, inclusive, simultáneamente”.
b)
Falsificaciones informáticas
Como objeto: Cuando se alteran datos de los documentos almacenados en forma computarizada.
Como instrumentos: Los computadores pueden utilizarse también para efectuar falsificaciones de documentos de uso comercial. Cuando empezó a disponerse de fotocopiadoras computarizadas en color a base de rayos láser surgió una nueva generación de falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras pueden hacer copias de alta resolución, modificar documentos
e incluso pueden
crear documentos falsos sin tener que recurrir a un original, y los documentos que producen, son de tal calidad que solo un experto puede diferenciarlos de los documentos auténticos.
6
Salamea Carpio, Diego, Ibíd., p. 84.
10
c)
Daños o modificaciones de programas o datos computarizados
Sabotaje informático: es el acto de borrar, suprimir o modificar sin
autorización,
funciones o datos de computadora con intención de obstaculizar el funcionamiento normal del sistema. Las técnicas que permiten cometer sabotajes informáticos son:
1)
Virus: Son una serie de programas en clave, codificados, que pueden adherirse a programas legítimos y propagarse de esta manera en la memoria y otros sistemas informáticos. Un virus puede ingresar en un sistema por conducto de una pieza legítima de soporte lógico que ha quedado infectada, así como utilizando el método del Caballo de Troya. También se trata de programas con la capacidad de transmitirse entre computadores y redes, generalmente sin conocimiento de los usuarios. Los virus pueden tener indeseables efectos secundarios, desde el molestar con absurdos mensajes, hasta llegar a borrar todo el contenido del disco duro del computador o alterar completamente las funciones de la memoria en la cual se cargan los programas.
2)
Gusanos: Son programas fabricados en forma similar a los virus que pueden introducirse en programas legítimos con la finalidad de infectar sistemas de datos para destruirlos, pero con la diferencia que no pueden regenerarse como los virus.
3)
Bombas lógicas: Son programas destructivos de los sistemas de datos que se programan para “explotar” o ejecutarse en un período de tiempo futuro para causar el mayor daño posible. La programación futura de este tipo de programas dificulta mucho la posibilidad de ubicar a la persona o personas que infectan los sistemas con esta clase de mecanismos.
4)
Acceso no autorizados a sistemas o servicios: El quebrantamiento de las seguridades informáticas, particularmente los contenidos de páginas Web de empresas, entidades públicas, bienes y servicios que se prestan al público, a fin de inutilizarlas o modificarlas para perjudicar o engañar al público en general o para sacar provecho personal, es lo que se conoce como hakeo, el mismo que puede variar desde la simple conducta de curiosidad o desafío 11
intelectual para una persona conocedora del tema informático, hasta el auténtico sabotaje o espionaje informático. 5)
Piratas informáticos: El acceso informático se efectúa desde lugares remotos de las redes informáticas. Los piratas informáticos se hacen pasar por usuarios legítimos del sistema. Esto suele suceder con frecuencia en los sistemas en los que los usuarios pueden emplear contraseñas comunes o contraseñas de mantenimiento que están en el propio sistema. Con estos mecanismos los ciber delincuentes pueden acceder a la información que se guarda como segura, como por ejemplo, la información bancaria o de datos confidenciales de las personas.
6)
Reproducción no autorizada de programas informáticos protegidos legalmente y con derechos de autor o patente: Este tipo de acciones suelen perjudicar económicamente a la persona natural o jurídica que ha generado el programa informático, y no obstante de tratarse de infracciones penadas por la Ley, en el Ecuador por ejemplo, es muy común verificar la presencia de numerosos puestos de venta de toda clase de programas informáticos reproducidos sin autorización. Esta reproducción no se limita solamente a programas de software, sino también de toda clase información introducida en un medio digital y que pueda ser comercializada en el mercado.
En cuanto a la Unión Europea se refiere, existe como acuerdo marco, el Convenio sobre Ciberdelincuencia suscrito en Budapest, el 23 de noviembre del 2001, cuyo objetivo es la cooperación internacional entre los Estados miembros, para prevenir los actos que pongan en peligro la confidencialidad, la integridad y la disponibilidad de los sistemas, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos, garantizando la tipificación como delito de dichos actos, tal como
se definen en el citado convenio, el cual
incluye la asunción de poderes suficientes para luchar contra dichos delitos, facilitando su detección, investigación y sanción, tanto a nivel nacional como internacional, estableciendo disposiciones materiales que permitan una cooperación internacional rápida y fiable. Este convenio clasifica a los delitos de la siguiente manera:
1) Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos: Comprende el acceso ilícito, la intercepción ilícita, los 12
ataques a la integridad de los datos, ataques a la integridad del sistema informatico y abuso de los dispositivos. 2) Delitos informáticos: Forman parte de este título, la falsificación informática y el fraude informático. Para el efecto del desarrollo de esta tesina, nos interesa conocer cómo este convenio define cada uno de estos delitos.
A la falsificación informática, el convenio la define como como la introducción, alteración, borrado o supresión ilegítimos de datos informáticos que genere datos no auténticos con la intención de que sean tomados o utilizados, a efectos legales como si fuesen auténticos, con independencia de que los datos sean legibles e inteligibles directamente.
El fraude informático se define en este convenio como el conjunto de actos deliberados e ilegítimos que causen perjuicio patrimonial a una persona mediante:
a) La introducción, alteración, borrado o supresión de datos informáticos; y,
b) Cualquier interferencia en el funcionamiento de un sistema informático.
Ambos presupuestos anteriores deben tener la finalidad de obtener de forma ilegítima, un beneficio económico para el infractor o para una tercera persona.
3) Delitos relacionados con el contenido: En este punto tenemos a los delitos relacionados con la pornografía infantil. Se busca el compromiso de los países suscribientes para sancionar la producción de pornografía infantil a efectos de difundirla por medio de un sistema informático; también se busca sancionar la oferta o puesta a disposición de la pornografía infantil a través de un sistema informático, la difusión o trasmisión de pornografía infantil, la adquisición de pornografía infantil por medios informáticos para sí o para terceros, y finalmente, la posesión de pornografía infantil en un sistema informático o en un dispositivo de almacenamiento de datos informáticos.
4) Delitos relacionados con infracciones a la propiedad intelectual y de los derechos afines: En este título del convenio, los suscribientes adoptan el compromiso de establecer tipificación y medidas de sanción para las infracciones cometidas en contra de las obras literarias y artísticas protegidas por el Convenio 13
de Berna y por los acuerdos de
propiedad intelectual de la OMPI sobre derechos de autor, cuando estas infracciones hubiesen sido cometidas por medio de un sistema informático y a escala comercial.
También se busca el compromiso de las partes para tipificar y sancionar los delitos cometidos por sistemas informáticos y a escala comercial, que afecten los
derechos de
propiedad intelectual sobre interpretación o ejecución de fonogramas y radiodifusión, protegidos por la Convención Internacional de Roma sobre la Protección de los Artistas Intérpretes o Ejecutantes, los Productores de Fonogramas y los Organismos de Radiodifusión, y el Tratado de la OMPI sobre Interpretación y Ejecución de Fonogramas.
Este convenio busca lograr también que los Estados partes tomen las medidas de conservación necesarias para almacenar de una manera rápida y eficiente, las evidencias de los delitos cometidos por medio o en contra de los sistemas informáticos, a efectos de lograr un procesamiento y detección eficaz de los datos obtenidos en tiempo real (tráfico de la red) y así poder identificar con claridad y a la brevedad posible a los responsables del ciberdelito. El convenio establece también el marco de cooperación o asistencia mutua entre los países suscribientes o adherentes para el acceso transfronterizo a datos almacenados públicamente, y para la asistencia mutua en relación con la intercepción de datos relativos al contenido.
En el Ecuador, los principales siniestros o eventos que por vía informática o telemática, afectan a los clientes de las instituciones del sistema financiero privado, tanto personas naturales como empresas, son los siguientes:
1.- Pishing (pesca fraudulenta de datos); o, password harvesting fishing (cosecha y pesca de contraseñas). 2.- Pharming (reenvío a otra dirección web desde un mensaje de correo o página).
3.- Transferencias no autorizadas de fondos (desde cuentas de personas naturales, vía internet).
4.- Generación de órdenes de pago no autorizadas y transferencias de fondos por el sistema Cash Management (sistema informático de transferencias y órdenes de pago que los bancos utilizan para las transacciones de sus clientes empresariales). 14
En tanto que, los principales eventos que afectan a los clientes de las instituciones financieras ecuatorianas a través de la manipulación y alteración de los productos, servicios y canales electrónicos que estas instituciones ofrecen, son los siguientes:
1) Clonación de tarjetas de débito y crédito a través del skimming, que es un método de copia de los datos y claves de las tarjetas de débito o crédito, utilizando micro cámaras y/o teclados colocados en los cajeros automáticos. 2) Copia de las bandas magnéticas de seguridad de las tarjetas de débito o crédito de los clientes, e inserción de estas bandas clonadas en moldes de tarjetas robadas o adquiridas fraudulentamente, con la finalidad de realizar compras o consumos con cargo o débito a la cuenta del cliente afectado.
3) Shutteros: Se trata de la manipulación de los cajeros automáticos para obtener dinero, generando una condición de error en los discos duros y software de estos cajeros. Los delincuentes introducen una lámina en la ranura de la salida de efectivo del ATM y accionan un sensor, el cajero automático abre la tapa del dinero e interpreta una condición de error, por lo que reversa la transacción; luego, el defraudador hala las bandas transportadoras del efectivo y toma el dinero.
4) Manipulación de los canales de comunicación de los cajeros automáticos, sustracción y desciframiento de claves encriptadas de seguridad de los ATMS del Banco, a través de la conexión de discos duros portátiles, memorias flash, teclados, mouses, smartphones (teléfonos celulares inteligentes), al disco duro de los cajeros automáticos y desactivación de los sistemas antivirus. En razón del acceso, las personas encargadas del mantenimiento del equipo electrónico bancario suelen constituirse, sino en autores en algunos casos, en cómplices coadyuvantes de estos delitos. 5) Revelación del secreto bancario, esto es, proporcionar a terceros la información de los clientes bancarios contenida en las bases de datos informáticas, generalmente bajo promesa de pago de dinero o con amenazas. En este tipo de conductas ilícitas participan los funcionarios del banco como cómplices
o facilitadores del delito
informático. Cabe la posibilidad de que estos empleados bancarios permitan la utilización de sus terminales informáticas y de sus usuarios y claves informáticas para la perpetración del delito, siendo cómplices de los ciber delincuentes. 15
3. Problemas especiales en la persecución de los delitos informáticos
La complejidad de la delincuencia informática dificulta de gran manera, la aplicación del Principio de Territorialidad de la Ley, por cuanto muchos de estos ilícitos son de origen o carácter transnacional. En Europa, como ya mencioné anteriormente, existe el Convenio sobre Cibercriminalidad suscrito en el año 2001, el cual ha buscado que los estados partes adopten la idea de la “jurisdicción universal” para la persecución de los delitos informáticos, ampliando los conceptos de acción y de resultado, propugnado también la aplicación de la llamada teoría de la ubicuidad.
La profesora Ana Pérez Machío7 explica con claridad los conceptos relativos al principio de jurisdicción universal y al principio de ubicuidad:
a) Principio de jurisdicción universal.- Llamado también de justicia universal, conlleva la ampliación del sistema de excepciones a la territorialidad de la ley penal, aplicada a ciertos delitos cuyo bien jurídico protegido obliga a esta persecución forzada fuera del ámbito del territorio nacional para que los responsables del ciberdelito no queden en la impunidad. Partiendo de la llamada “teoría de la acción”, habría que considerar que el lugar de origen del delito informático es aquel en que se encuentra ubicado el servidor informático desde el cual el responsable del ciberdelito lanza el ataque a través de las redes informáticas, o bien, es el espacio físico o virtual en el que almacena datos o información obtenida ilícitamente. En cambio, partiendo de la denominada “teoría del resultado”, se considera que cualquier estado puede invocar su jurisdicción para perseguir el delito informático originado en otro estado, si se establece la existencia de elementos de convicción del resultado del ciberdelito, en su territorio.
b) Principio de ubicuidad.- Respecto de esta tesis que goza de mayor aceptación doctrinaria en la actualidad, debemos decir que para la misma no es relevante el lugar de origen o del resultado del delito informático. Existe ubicuidad cuando la jurisdicción de un estado actúa tanto en el caso de que la acción delictiva se lleve a cabo en su territorio y el resultado se produjo fuera de él, tanto como si el ilícito se originó fuera de su territorio y tuvo su resultado dentro de su territorio. El delito se entenderá cometido en cualquiera de los lugares en que se despliega la actividad del autor del hecho o donde se manifiesta el resultado típico, que de formar parte del territorio nacional permitirán la competencia de éste. Solo la atención al lugar en que se despliega la acción y al lugar en que se ejecuta el resultado puede aportar los elementos necesarios para el correcto enjuiciamiento del hecho (énfasis añadido).
7
Pérez Machío, Ana. (2012). Delincuencia Informática. Tiempos de Cautela y Amparo (pp. 273-277). Madrid: Arazandi.
16
CAPÍTULO II DELITOS INFORMÁTICOS Y ELECTRÓNICOS QUE AFECTAN A LAS INSTITUCIONES DEL SISTEMA FINANCIERO, ESTABLECIDAS EN EL NUEVO CÓDIGO ORGÁNICO INTEGRAL PENAL
1.- El nuevo Código Orgánico Integral Penal y la doctrina final de la acción
Desde el 10 de agosto del 2014 entró en vigencia el Código Orgánico Integral Penal (en adelante COIP) que contiene en la parte sustantiva, la descripción de todos los tipos penales en un solo cuerpo normativo, así como la aplicación de algunos presupuestos de la doctrina mal llamada Finalismo, teoría final de la acción o búsqueda del resultado como manifestación objetiva de la realización del tipo penal.
Conforme lo expresa Ramiro García Falconí, destacamos las siguientes novedades en el COIP:
La dogmática derivada de una teoría subjetiva de la norma penal se impone y las consecuencias que ésta deriva, como es el caso de la ubicación del dolo en sede tipicidad, que se mantiene. No así algunos de los conceptos específicos, como la definición de culpabilidad como juicio de reproche; la propuesta de sustituir culpabilidad por responsabilidad; o la inclusión del principio de necesidad de pena, cómo parte de ésta. En lo referente a la culpabilidad se considera que como fundamento de la retribución es insuficiente y debe ser abandonado, pero el concepto de culpabilidad como concepto limitador de la pena 1 debe seguir manteniéndose.
El Código Orgánico Integral Penal preceptúa que solamente las conductas penalmente relevantes son punibles de acuerdo a las disposiciones sancionatorias de este cuerpo normativo. El artículo 22 del COIP dispone lo siguiente: “Conductas penalmente relevantes.- Son penalmente relevantes las acciones u omisiones que ponen en peligro o producen resultados lesivos, descriptibles y demostrables”.
Lo destacado de la teoría finalista es que liga el concepto de acción a la voluntad del autor, lo cual tiene como efecto el considerar como penalmente relevante aquello que es atribuible al autor y, entre otras consecuencias, el traslado del dolo y la culpa a la tipicidad.
1
García Falconí, Ramiro. (2014). Código Orgánico Integral Penal Comentado. Tomo I (pp. 246-248). Lima, Perú: Ada Editores.
18
2.- Los delitos patrimoniales e informáticos en el nuevo Código Orgánico Integral Penal con relación al ámbito bancario.
Los delitos que afectan a los clientes y productos de las instituciones del sistema financiero privado, están tipificados en dos secciones del nuevo Código Orgánico Integral Penal: En el Capítulo II, Delitos contra los Derechos de Libertad, Sección Novena, Delitos contra el Derecho a la Propiedad; así como en el Capítulo III, Delitos contra los Derechos del Buen Vivir, Sección Tercera, Delitos contra la Seguridad de los Activos de los Sistemas de la Información y Comunicación. Para efectos de mi estudio, los he dividido en: 1) delitos patrimoniales que se cometen por medios informáticos; y, 2) delitos informáticos y electrónicos que afectan a los clientes, actividades y productos de las instituciones del sistema financiero. 2.1. Delitos patrimoniales que se cometen por medios informáticos:
Art. 186 del COIP.- ESTAFA (Por medios electrónicos): La pena máxima se aplicará a la persona que:
1.- Defraude mediante el uso de tarjeta de crédito, débito, pago o similares, cuando ella sea alterada, clonada, duplicada, hurtada, robada u obtenida sin legítimo consentimiento de su propietario. 2.- Defraude mediante el uso de dispositivos electrónicos que alteren, modifiquen, clonen o dupliquen los dispositivos originales de un cajero automático para capturar, almacenar, copiar o reproducir información de tarjetas de crédito, débito, pago o similares.
La estafa cometida a través de una Institución del Sistema Financiero Nacional o de la economía popular y solidaria que realicen intermediación financiera mediante el empleo de fondos públicos o de la Seguridad Social, será sancionada con pena privativa de la libertad de siete a diez años.
COMENTARIO: Doctrinalmente, la estafa informática está considerada como un delito que contiene los mismos elementos que la estafa ordinaria, siendo el elemento central la conducta relativa al engaño, a la acción fraudulenta; el engaño es el desvalor de acción de la estafa. 19
La estafa informática se trata de una adaptación legislativa para incorporar las modalidades a través de las cuales se comete este delito, pero siempre dentro de la dogmática y criterios interpretativos propios de la estafa. Algunos doctrinarios sostienen en cambio que el elemento de engaño o error difiere de la estafa tradicional y que por lo tanto, la estafa informática conlleva una nueva figura penal.
El elemento relevante que caracteriza a esta modalidad de estafa es la manipulación informática que debe conducir como objetivo al engaño de la víctima. La apropiación de valores lograda a través de la manipulación informática finalmente va a provocar el perjuicio patrimonial para el tercero, como el elemento requerido en todos los supuestos de estafa. El autor de la estafa siempre está guiado por el ánimo de
lucro que es el elemento subjetivo
que completa los elementos objetivos del hecho punible. Art. 190 del COIP.- APROPIACIÓN FRAUDULENTA POR MEDIOS ELECTRÓNICOS: La persona que utilice fraudulentamente un sistema informático o redes electrónicas y de telecomunicaciones para facilitar la apropiación de un bien ajeno o que procure
la
transferencia no consentida de bienes, valores o derechos en perjuicio de esta o de una tercera, en beneficio suyo o de otra persona alterando, manipulando o modificando el funcionamiento de redes electrónicas, programas, sistemas informáticos, telemáticos y equipos terminales de telecomunicaciones, será sancionada con pena privativa de libertad de uno a tres años.
La misma sanción se impondrá si la infracción se comete con inutilización de sistemas de alarma o guarda, descubrimiento o descifrado de claves secretas o encriptadas, utilización de tarjetas magnéticas o perforadas, utilización de controles o instrumentos de apertura a distancia, o violación de seguridades electrónicas, informáticas u otras semejantes. COMENTARIO: En el ámbito bancario, las víctimas de este delito son las personas naturales y jurídicas que realizan transacciones vía Internet o mediante sistemas informáticos que utilizan redes de tráfico de datos proporcionados por la institución financiera. La forma común en que se desenvuelve el delito se inicia cuando el ciberdelincuente genera el ataque informático desde una terminal o servidor ubicado generalmente en otro país distinto a aquel en que se produce el resultado del
delito.
Previamente, el atacante informático ha obtenido fraudulentamente el modo de vulnerar las claves y el acceso a la cuenta de la víctima (en muchos casos a través del pishing o 20
pharming) y logra de esta manera transferir los fondos que existen en dicha cuenta bancaria, a la cuenta de otra persona que también consta como cliente de dicho banco, o bien a las cuentas de usuarios de otras instituciones financieras.
En algunos casos, el beneficiario de la transferencia no autorizada desconoce que su cuenta bancaria fue utilizada, este es el caso denominado “uso de cuentas puente”, en las cuales el dinero transferido permanece por unas horas, mientras el ciberdelincuente elige el destino final de los fondos obtenidos; este tipo de triangulación en el desarrollo del delito, dificulta su persecución. El beneficiario final de los fondos suele realizar el retiro de los mismos, pero no suelen ser personas que tienen el conocimiento para atacar las cuentas de los clientes bancarios vía informática, son sus cómplices.
En el Código Penal anterior, vigente hasta el 9 de agosto del 2014, la apropiación ilícita por medios informáticos, informáticos o telemáticos constituía un delito sancionado con pena privativa de libertad desde seis meses hasta los cinco años de prisión. La nueva figura penal contemplada en este artículo 190 del COIP, ha rebajado la pena a este tipo de delitos, hasta los tres años de pena privativa de libertad, lo que sin duda tendrá un impacto negativo en la relación banca-clientes, porque los ciber delincuentes se verán mayormente incentivados a atacar las cuentas de las personas naturales clientes de los bancos, tomando en cuenta que el primer responsable de este delito, en razón del resultado, resulta ser siempre el beneficiario de la transferencia no autorizada desde la cuenta del afectado. 2.2. Delitos informáticos y electrónicos que afectan a los clientes, actividades y productos de las instituciones del sistema financiero:
Art. 229 del COIP.- REVELACIÓN ILEGAL DE BASES DE DATOS: La persona que, en provecho propio o de un tercero, revele información registrada, contenida en ficheros, archivos, bases de datos o medios semejantes, a través o dirigidas a un sistema electrónico, informático,
telemático
o
de
telecomunicaciones;
materializando
voluntaria
e
intencionalmente la violación del secreto, la intimidad y la privacidad de las personas, será sancionada con pena privativa de la libertad de uno a tres años.
Si esta conducta se comete por una o un servidor público, empleadas o empleados bancarios internos o de instituciones de la economía popular y solidaria que realicen
21
intermediación financiera o contratistas, será sancionada con pena privativa de la libertad de tres a cinco años. COMENTARIO: En la Ley Orgánica de Instituciones del Sistema Financiero, artículo 94, estuvo vigente hasta el 9 de agosto del 2014, el delito de “violación al sigilo bancario” con pena de prisión de uno a cinco años. Esta figura penal sancionaba toda conducta de los servidores bancarios consistente en proporcionar y divulgar información sujeta al sigilo y reserva bancaria, esto es, la información de operaciones activas y pasivas de los clientes de las instituciones del sistema financiero.
Podemos decir que en la actual codificación del COIP, el ámbito de protección de los datos personales constantes en archivos físicos o informáticos, bases de datos, se ha extendido a toda clase de actividades, siendo sancionada aquella persona que revele esta información. Si la violación de estos datos personales los hace quien tiene la calidad de empleado bancario, el delito constituye una agravante, sancionada con pena privativa de la libertad de tres a cinco años.
La actuación dolosa o culposa del empleado bancario puede traer consecuencias civiles o hasta penales a las instituciones del sistema financiero en las cuales trabaja este funcionario.
El artículo 155 del recientemente entrado en vigencia Código Orgánico Monetario y Financiero, establece lo siguiente: “Protección.- En los términos dispuestos por la Constitución de la República, este Código y la ley, los usuarios financieros tienen derecho a que su información personal sea protegida y se guarde confidencialidad”.
Los artículos 352 y 353 del mismo Código Orgánico Monetario y Financiero, consagran la protección de la información, entendiéndose ésta como datos de carácter personal de los usuarios del sistema financiero nacional, que reposan en las entidades de dicho sistema y su acceso está protegido, pudiendo ser entregada esta información solamente a su titular o a quien éste autorice.
El artículo 355 del mismo Código Orgánico Monetario y Financiero, expresa el mandato general de que ninguna persona natural o jurídica que llegase a tener conocimiento de información sometida a sigilo o reserva, podrá divulgarla ni en todo ni en parte. Establece 22
sanciones administrativas sin perjuicio de la responsabilidad penal que implica la divulgación de esta información.
La formación ética de los empleados bancarios es un ítem de alta importancia dentro de las medidas de seguridad que establecen las instituciones del sistema financiero para el combate del cibercrimen, al igual que la desconcentración de funciones en varios funcionarios o empleados, de manera que no se permita que un determinado funcionario maneje muchos aspectos operacionales relacionados con el servicio al cliente a través de medios informáticos. Es claro que la mayor vulnerabilidad que puede tener una institución del sistema financiero privado, no son sus sistemas o redes de información, sino la posibilidad de que sus empleados sean corrompidos y se vuelvan parte del ciberdelito a cambio de una recompensa económica mal habida. Por supuesto, los ciberdelincuentes a toda costa tratan de establecer contacto con funcionarios bancarios o de las empresas que prestan servicios auxiliares operativos a las instituciones del sistema financiero, a fin que su labor delictiva se vea facilitada. Es mucho más fácil que un delincuente informático pueda vulnerar la red y canales de transmisión de datos a través de una computadora de un funcionario bancario, que a través de lo que usualmente significa hacerlo desde una terminal computacional externa. Art. 230 del COIP.- INTERCEPTACIÓN ILEGAL DE BASES DE DATOS.- Será sancionado con pena privativa de la libertad de tres a cinco años: 1.- La persona que sin orden judicial previa, en provecho propio o de un tercero, intercepte, escuche, desvíe, grabe u observe, en cualquier forma un dato informático en su origen, destino, destino o en el interior de un sistema informático, una señal o una trasmisión de datos o señales con la finalidad de obtener información registrada o disponible. 2.- La persona que diseñe, desarrolle, venda, ejecute, programe o envíe mensajes, certificados de seguridad o páginas electrónicas, enlaces o ventanas emergentes o modifique el sistema de resolución de nombres de dominio de un servicio financiero o pago electrónico u otro sitio personal o de confianza, de tal manera que induzca a una persona a ingresar a una dirección o sitio de internet diferente a la quiere acceder.
23
3.- La persona que a través de cualquier medio copie, clone o comercialice información contenida en las bandas magnéticas, chips u otro dispositivo electrónico que esté soportada en las tarjetas de crédito, débito, pago o similares. 4.- La persona que produzca, fabrique, distribuya, posea o facilite materiales, dispositivos electrónicos o sistemas informáticos destinados a la comisión del delito descrito en el inciso anterior.
COMENTARIO: Algunas conductas anteriormente tipificadas como parte de la figura penal de apropiación ilícita (artículos 553.1 y 553.2 del Código Penal vigente hasta el 9 de agosto del 2014) están incorporadas y desarrolladas en este artículo del COIP; de igual manera, algunos elementos del delito que anteriormente se conocía como “falsificación electrónica” (artículo 353.1 del Código Penal vigente hasta el 9 de agosto del 2013) han sido incorporados en el numeral 3 de este artículo, pero en un amplio espectro que incluye al skimming (robo de la información de tarjetas de crédito o débito para un uso fraudulento posterior) y a la utilización o comercialización de las tarjetas clonadas electrónicamente. Se sanciona también a la persona que fabrique, produzca y distribuya estos dispositivos electrónicos de clonación, con lo cual se verifica que este delito apunta a sancionar toda acción que conlleve la utilización de medios electrónicos para perpetrar fraudes, pero lo que se castiga es al delito informático en sí mismo. La relación de estos delitos informáticos y electrónicos con el ámbito bancario es evidente, ya que estos son los tipos penales que engloban o abarcan las conductas que atacan y lesionan a los clientes bancarios y a los productos e imagen pública de la propia institución financiera. Art. 231 del COIP.- TRANSFERENCIA ELECTRÓNICA DE ACTIVO PATRIMONIAL.La persona que con ánimo de lucro, altere, manipule o modifique el funcionamiento de programa o sistema informático o telemático
o mensaje de datos, para procurarse la
transferencia o apropiación no consentida de un activo patrimonial de otra persona en perjuicio de esta o de un tercero, será sancionada con pena privativa de libertad de tres a cinco años.
Con igual pena, será sancionada la persona que facilite o proporcione datos de su cuenta bancaria con la intención de obtener, recibir o captar de forma ilegítima un activo patrimonial a través de una transferencia electrónica producto de este delito para sí mismo o para otra persona. 24
COMENTARIO: Como elementos objetivos de este tipo penal, muy similar en su contenido al artículo 553.1 del Código Penal ecuatoriano que estuvo vigente hasta el 9 de agosto del 2014, tenemos los siguientes:
1.- Obtener la transferencia no consentida de bienes, valores o derechos.Con este elemento se elimina el problema de la disposición personal de la cosa perteneciente a otro, exigida por el tipo general de estafa (artículo 186 del COIP). Esto en cuanto a que en dicho tipo penal se exige por parte del sujeto pasivo, la entrega de una cosa ajena mediante el engaño y el abuso de confianza, situación que no ocurre en el fraude informático.
2.- Perjuicio de un tercero.- Disminución del patrimonio de la entidad financiera o comercial o de sus clientes. Este perjuicio se produce en el momento que es modificada la anotación en cuenta, a consecuencia de lo cual se produce la detracción del dinero contable o escritural respecto de su legítimo titular y, al mismo tiempo, ha quedado fuera de su ámbito de disposición mediante la transferencia al registro designado por el autor.
3.- Manipulación informática fraudulenta.- En este punto hay que tener en cuenta las diferentes formas y técnicas que se utilizan en el fraude informático;
de otro
lado, la manipulación informática fraudulenta descrita en el tipo con los verbos alterar, manipular y modificar, se une al concepto de apropiación de un bien patrimonial ajeno en sentido amplio. 4.- Dolo y medio fraudulento.- En la apropiación ilícita debe existir la utilización de un medio fraudulento para el cometimiento de la infracción, cual es la manipulación informática fraudulenta; y la intención del agente debe dirigirse en primer lugar a causar un perjuicio económico a la víctima y, en segundo lugar, revelar el ánimo de lucro con el cual el delincuente informático actúa. 5.- Relación de causalidad.- Se exige que exista una cadena causal entre los elementos antes señalados; esto es, que la manipulación informática fraudulenta preceda al perjuicio patrimonial y que estén vinculados por una relación de causalidad adecuada. Es importante señalar que el orden de concurrencia de estos elementos no puede ser alterado, por existir entre los distintos elementos una relación lógica y necesaria.
25
Art. 232 del COIP.- ATAQUE A LA INTEGRIDAD DE SISTEMAS INFORMÁTICOS.- La persona que destruya, dañe, borre, deteriore, altere, suspenda, trabe, cause mal funcionamiento, comportamiento no deseado o suprima datos informáticos, mensajes de correo electrónico, de sistemas de tratamiento de información, telemático o de telecomunicaciones a todo o parte de sus componentes lógicos que lo rigen, será sancionada con pena privativa de libertad de tres a cinco años.
Con igual pena será la sancionada la persona que:
1.- Diseñe, desarrolle, programe, adquiera, envíe, introduzca, ejecute, venda o distribuya de cualquier manera, dispositivos o programas informáticos maliciosos o programas destinados a causar los efectos señalados en el primer inciso de este artículo.
2.- Destruya o altere sin la autorización de su titular, la infraestructura tecnológica necesaria para la transmisión, recepción o procesamiento de información en general.
Si la infracción se comete sobre bienes informáticos destinados a la prestación de un servicio público o vinculado con la seguridad ciudadana, la pena será de cinco a siete años de privación de libertad. COMENTARIO: Desarrollando los conceptos expuestos por Fernando Tomeo2, se establece que el intrusismo informático no autorizado o acceso ilegítimo a los sistemas de información se conoce como hacking; y a quienes alteran los sistemas informáticos introduciéndose ilegítimamente en ellos con fines de lucro u otras finalidades, se los denomina hackers o crackers.
La palabra hacker proviene de los reparadores de cajas telefónicas (E.E.U.U. en la década del 50), cuya principal herramienta de reparación era un golpe seco al artefacto con fallas (un “hack”), de ahí que se los llamó “hackers”. Puede informático que
utiliza
técnicas
de penetración
no
definirse como un experto programadas,
autorizadas
o
convencionales, para acceder a un sistema informático con los más diversos fines, sean estos el satisfacer su curiosidad, superar los controles públicos o privados, probar la vulnerabilidad del sistema para mejorar su seguridad, sustraer, modificar, dañar o eliminar 2
Tomeo, Fernando. (2014). Redes Sociales y tecnologías 2.0, 2da. Ed. (pp. 209-210). Buenos Aires, Argentina: Astrea.
26
información; y cuyas motivaciones también responden a los más variados intereses: ánimo de lucro, posturas ideológicas anarquistas, avidez de conocimientos, orgullo, propaganda política, etc.
Con el tiempo y frente a las actitudes dañosas de algunos de estos individuos, la misma cultura hacker gestó el término “crackers” para aludir a estos sujetos, diferenciándose de los mismos por tener fines supuestamente más altruistas. Posteriormente, la doctrina receptó tal diferenciación entre intrusismo informático ilegítimo (hacking) y sabotaje informático (cracking), basándose en el elemento subjetivo que delimita la frontera de cada comportamiento; mientras en el último supuesto, la intencionalidad del agente es obstaculizar, dejar inoperante o dañar el funcionamiento de un sistema informático, en el primer caso la acción realizada busca únicamente el ingreso a tales sistemas sin dirigir sus actos a la afectación de la integridad o disponibilidad de la información, pero sí, a la confidencialidad y exclusividad de la misma y también, en algunos casos, a vulnerar la intimidad del titular de aquélla.
No obstante, existen hackers que manifiestan su accionar como una forma o filosofía de vida, de experimentar y crear, con espíritu aventurero, sin límites ni restricciones, pero cuya finalidad no es la de dañar. La cultura hacker de estos grupos, sostiene que son el motor de la infraestructura informacional, puesto que pregonan la absoluta libertad de la información y desarrollan la ingeniería necesaria para el mejoramiento de los sistemas informáticos (software libre y seguridad de redes).
Si bien toda intrusión informática no autorizada resulta ilegítima por suponer un acto de penetrar o violentar las barreras de seguridad predispuestas por su titular para proteger información privada o confidencial, para acceder al sistema da datos, o lo que es lo mismo, el ingreso ilícito del ciberdelicuente contra la voluntad presunta del afectado, no es posible incluir en este presupuesto a los técnicos informáticos que desarrollan seguridad de redes, denominados “hackers éticos” quienes poseen autorización o consentimiento expreso del titular del sistema para verificar la seguridad de un servidor, terminal computacional o redes de comunicación.
Es lógico pensar, entonces, que en ambientes determinados (empresariales por ejemplo), con controles y reglas básicas y bajo los pertinentes acuerdos contractuales, el intrusismo informático constituya una actividad lícita, obviamente, exenta de sanción penal alguna, por 27
ausencia de antijuridicidad y de dolo, ya que la voluntad y conocimientos del técnico especializado está orientada al descubrimiento de intrusiones o alteraciones del sistema informático que analiza, a través del uso de programas o test autorizados. La clasificación que realiza Fernando Tomeo considera los siguientes tipos de hackers3: a) “Black hats”: Suelen practicar actividades ilícitas con fines lucrativos, rompiendo sistemas de seguridad de computadoras, realizar entradas remotas no autorizadas, colapsar servidores, entrar a zonas restringidas, infectar redes o apoderarse de ellas. b) “White hats”: También llamados “hackers éticos”, son personas que trabajan para empresas de desarrollo de programas informático, protegiendo y reparando errores en los sistemas. c) “Blue hats”: Trabajan en un entre oficial del Estado o en una empresa de seguridad que intenta identificar los problemas potencialmente dañosos. d) “Script-kiddies”: Son hackers que carecen de experiencia y ejercen formas básicas de hacking; por ejemplo, buscan y descargan programas y herramientas de intrusión informática, para luego ejecutarlos como simple usuario, sin preocuparse del funcionamiento interno de éstos ni de los sistemas sobre los que funcionan. e) “Hacktivistas”: La motivación por la cual estas personas “hackean” se asocian a movimientos ideológicos concretos, relacionados con alguna causa social, promoviendo cambios en los modos de vida, de la libertad del conocimiento y la justicia social.
f) “Hackers de élite”: Pertenecen a uno o varios colectivos virtuales oscuros y prestigiosos y se consideran los más expertos de todos.
3
Tomeo Fernando, Ibíd., pp. 210-211.
28
CAPÍTULO III TEORÍA DEL CASO DE LOS DELITOS INFORMÁTICOS Y ELECTRÓNICOS QUE AFECTAN A LAS INSTITUCIONES DEL SISTEMA FINANCIERO
1.- ¿Qué es la teoría del caso?
En el juicio oral rige el principio de la contradicción. El fiscal y el defensor exponen su relación de los hechos en los alegatos de apertura, en los interrogatorios y en los alegatos de cierre. Todo esto implica que las partes deben diseñar su teoría del caso, desarrollar un conjunto de habilidades y destrezas, aportar pruebas, así como realizar interrogatorios adecuados. El profesor Luis Felipe Valdivieso Arias establece que: “Teoría del Caso es el planteamiento técnico que desarrolla y argumenta cada una de las partes dentro de un procedimiento, sea en defensa o en acusación. Es una metodología de análisis de los hechos relevantes, de las pruebas, la participación de los imputados y de las circunstancias de la infracción”1.
La teoría del caso, para que sea útil, debe cumplir con las siguientes condiciones:
a) Debe ser lógica: Los hechos planteados deben coincidir y guardar armonía con los planteamientos conceptuales y jurídicos de la exposición en causa. La concordancia lógica debe ser sincrónica para cada una de las deducciones o inferencias que se van a debatir, tanto en lo fáctico como en lo jurídico.
b) Debe ser creíble: El planteamiento que se expone como teoría del caso, debe ser extremadamente creíble, confiable y bastante apegado a la realidad de los hechos para lograr explicarse por sí mismo, como un acontecimiento humano real, acorde con el sentido común y las reglas de la experiencia. También debe ser persuasivo, a tal punto que convenza a los demás de lo que se considera como cierto y que evidentemente debe ser sensato.
c) Legalmente suficiente: Todo razonamiento jurídico debe soportarse en el Principio de Legalidad y, por tanto, debe llenar desde el punto de vista del acusador todos los elementos de la conducta punible y de la culpabilidad. Desde el punto
de vista del
abogado defensor, debe determinar la falta de algún elemento de la conducta o de la responsabilidad, o el incumplimiento de antecedentes jurisprudenciales que fijan el alcance 1
Valdivieso Arias, Luis Felipe. (2012). Seminario: Litigación Oral en Materia Penal (p. 38). Loja, UTPL.
30
de la norma o la violación o inexistencia de los procedimientos que garantizan la autenticidad de los medios de prueba (cadena de custodia). d) Debe ser concreta pero flexible: Porque siempre se concibe un plan inicial de cómo será un juicio, pero éste está sujeto a imprevistos que forman parte de un sistema adversarial. La teoría del caso debe ser suficientemente flexible para adaptarse o comprender los posibles desarrollos del proceso sin cambiar radicalmente, porque este tipo de cambio acabaría con la credibilidad de cualquier sujeto procesal.
Una buena teoría del caso es aquella que contiene una hipótesis sencilla sobre los hechos y una adecuación típica de los mismos, sin que se recaiga en sofisticados razonamientos fácticos o dogmáticos; que es creíble y de formulación lógica, logrando explicar congruentemente la mayor cantidad de hechos que sustenten la propia pretensión, recogiendo inclusive aquellos puntos que forman parte de la teoría del caso de la contraparte que pueden fortalecernos, temas que van dilucidándose en el transcurso del juicio.
2.- Componentes o elementos de la teoría del caso Concordando con el doctor Alfonso Zambrano Pasquel2, determinamos que los tres elementos relevantes de la Teoría del Caso, son los siguientes:
2.1. Elemento fáctico: Es la identificación de los hechos relevantes o conducentes para comprobar la responsabilidad o no responsabilidad del procesado, hechos que deben ser reconstruidos durante el debate oral, a través de las pruebas. Los hechos contienen las acciones con circunstancias de tiempo, los lugares o escenarios, los personajes y sus sentimientos, el modo de ocurrencia, los instrumentos utilizados, y el resultado de la acción o acciones realizadas.
El aspecto fáctico lo constituyen los hechos relevantes, afirmaciones o proposiciones fácticas que queremos que acepte el juzgador para establecer lo jurídico. Lo fáctico sustenta lo jurídico, siendo la identificación de los hechos conducentes para comprobar la responsabilidad o no responsabilidad del procesado, hechos que deben ser reconstruidos 2
Zambrano Pasquel, Alfonso. (2013). Estudio Introductorio al Código Orgánico Integral Penal, referido al Libro Segundo, Tomo III (pp. 135-145). Quito: Corporación de Estudios y Publicaciones.
31
durante el debate oral, a través de las pruebas. Los hechos contienen las acciones con circunstancias de tiempo, los lugares o escenarios, los personajes y sus sentimientos, el modo de ocurrencia, los instrumentos utilizados y el resultado de las acciones realizadas. 2.2. Elemento probatorio: Nos permite establecer cuáles son las pruebas pertinentes para establecer la certeza de la ocurrencia de la conducta punible y de la responsabilidad del acusado, como supuestos de una sentencia condenatoria para la Fiscalía. O bien la ausencia o deficiencia de estos requisitos en el caso de la defensa, fallas procedimentales esenciales o la ruptura de la cadena de custodia que hace perder la autenticidad de la prueba. La teoría probatoria es el modo de comprobar ante el juez, los planteamientos formulados.
Frente al conocimiento de los hechos relevantes, existe la determinación y la clasificación de las pruebas que demuestran cada supuesto, permitiéndonos esto saber qué fortalezas y debilidades tiene nuestra teoría del caso, para concluir si
hay lugar a formular acusación
cuando se trata de la Fiscalía; o para saber qué tan comprometida está la responsabilidad del procesado, cuando se trata del defensor. Lo probatorio consiste en examinar las pruebas que queremos presentar para establecer lo fáctico. El elemento probatorio sustenta la teoría fáctica y la jurídica.
En el campo probatorio se cuentan todos los elementos de prueba, para establecer la materialidad del hecho; se desarrollan las pruebas testimoniales, documentales y materiales y se establece su peso o valor dentro del proceso.
2.3. Elemento jurídico: Consiste en el encuadramiento jurídico de los hechos dentro de las disposiciones legales, tanto sustantivas como procedimentales. Es el análisis de los elementos de Derecho, de aquello que queremos establecer. Para el abogado defensor esto significa examinar los elementos de la conducta punible, para determinar si hace falta alguno de ellos. Puede acontecer que se formule una teoría del caso para cambiar el grado de responsabilidad del procesado y así lograr la diminución de la pena, por ejemplo, cuando se indica que el procesado actuó como cómplice o que existen causas de justificación en su actuación.
32
3.- Desarrollo de la teoría del caso, en dos (2) ejemplos prácticos aplicados al sistema bancario, de delitos cometidos a través de medios informáticos y electrónicos, desde las perspectivas estratégicas de la Fiscalía y de la defensa del procesado. N° 1: TEORÍA DEL CASO DE LA FISCALÍA3
a) TÍTULO: CASO COMPAÑÍA EXPERIMENTAL, TRANSFERENCIAS FRAUDULENTAS ENTRE CUENTAS DEL MISMO BANCO, UTILIZANDO MEDIOS INFORMÁTICOS. b) RELATO DE LOS HECHOS
En el mes de febrero del 2013, el señor Benito Coba Claudio fue reemplazado en el cargo de Gerente General de la compañía Experimental, ubicada en la ciudad de Quito, conforme se desprende del nombramiento del nuevo gerente de dicha compañía. Por errores de tipo operativo, el Banco Equinoccio, institución financiera en la cual la compañía Experimental mantiene una cuenta, no revocó los accesos (usuario y clave) del señor Benito Coba a la plataforma Internet de empresas denominada CASH MANAGEMENT, a través de la cual, se podía verificar los saldos contables de la cuenta de la empresa Experimental, con el perfil Operador, así como se podía realizar transacciones con el perfil FULL, que en dicha compañía fue asignado al Gerente General, que era el señor Benito Coba. El nuevo gerente de la compañía Experimental, había solicitado por escrito, la revocación del usuario y claves del ex gerente, en el mes de marzo del 2013.
En el mes de abril del 2013, el señor Benito Coba Claudio, desde una terminal computacional, realiza tres transferencias de dinero desde la cuenta de la compañía Experimental, con destino a su cuenta personal del Banco Equinoccio, por un valor total de USD$ 21.000. Estas acciones generaron la presentación de un reclamo
del actual gerente
de la empresa Experimental, al Banco Equinoccio, entidad del sistema financiero que resolvió aceptar el reclamo y, mediante convenio suscrito con la compañía Experimental en el mes de mayo del 2013, acreditó a la cuenta de Experimental, la suma de USD$ 21.000, asumiendo el monto total del perjuicio de su cliente. 3
Este primer ejercicio práctico ha sido formulado en base a un caso real que se suscitó en la ciudad de Quito. Los nombres de los sujetos intervinientes han sido cambiados para proteger su derecho constitucional a la intimidad y a la privacidad.
33
En el mes de junio del 2013, Banco Equinoccial presenta denuncia ante la Fiscalía por el delito de apropiación ilícita por medios informáticos y electrónicos, la misma que fue tramitada en las fases de indagación previa e instrucción fiscal, por parte de la Fiscalía N° 4 de Patrimonio Ciudadano de Pichincha.
c) ALEGATO DE APERTURA
En esta audiencia vamos a demostrar que el señor Benito Claudio Coba, utilizando dolosamente su usuario y clave de acceso al sistema CASH MANAGEMENT del Banco Equinoccial (Banca Empresas) cuando ya no ostentaba la calidad de Gerente General de la Compañía Experimental, procedió a realizar tres transferencias por el valor de USD$ 21.000, perjudicando de esta manera a la mencionada compañía, dinero que tuvo como destino su cuenta bancaria personal. Vamos a demostrar también que en el mes de abril del 2013, el usuario y clave informáticos del señor Benito Claudio se encontraban activos con perfil full de operaciones, y que por ende, el procesado tuvo los elementos necesarios y el dominio del hecho, para cometer el delito de apropiación ilícita por medios informáticos.
d) TEORÍA JURÍDICA La conducta del procesado Benito Coba Claudio se subsumió en el tipo penal establecido actualmente en el artículo 190 del Código Orgánico Integral Penal, anteriormente, articulo 553.1 del Código Penal que estuvo vigente hasta el 9 de agosto del 2014; esta es la norma penal aplicable a la fecha en que se cometió la infracción (abril del 2013).
El sujeto activo de la infracción en calidad de autor fue el señor Benito Claudio Coba.
La víctima o perjudicado por la infracción fue la compañía Experimental, de la cual el señor Coba fue su Gerente General. El bien jurídico protegido es la propiedad, en este caso de los dineros que pertenecen a la compañía Experimental y que se hallan depositados en la cuenta de dicha compañía en el Banco Equinoccial. El medio idóneo para la realización del tipo penal fue la utilización de medios informáticos (sistema CASH MANAGEMENT a través de Internet, utilizando su usuario y clave que no habían sido revocados) de manera fraudulenta.
34
e) PROPOSICIONES FÁCTICAS - Benito Coba Claudio cesó en sus funciones como Gerente de la compañía Experimental, en el mes de febrero del 2013, por lo tanto, cualquier actuación realizada a nombre de la compañía o en operaciones con dinero de la compañía, a partir del mes de marzo del 2013, es indebida y por ende ilegal, antijurídica.
- El Banco Equinoccial cometió un grave error operativo, al no revocar el usuario y clave informática del señor Benito Coba Claudio, a pesar de la petición escrita del gerente actual de la compañía Experimental.
- El señor Benito Coba Claudio se aprovechó de la condición de vigencia de su clave y usuario y perfil FULL en el sistema CASH MANAGEMENT del Banco Equinoccial, para efectuar transferencias por el valor total de USD$ 21.000, originando el egreso de fondos en la cuenta de la compañía Experimental, con destino a su cuenta personal del mismo Banco.
- Se desconoce la dirección de la terminal IP (protocolo de internet) desde la cual el señor Benito Coba Claudio
realizó
las transacciones denunciadas como
ilícitas,
pero
inequívocamente el destino de estas transferencias fraudulentas fue su cuenta en el Banco Equinoccial.
- La compañía Experimental fue víctima de la sustracción de sus fondos a través de la plataforma informática CASH MANAGEMENT, siendo víctima o perjudicado por la infracción, perjuicio económicamente reparado por el Banco Equinoccial, mediante convenio suscrito en mayo del 2013.
- El señor Benito Coba Claudio alega que las transferencias realizadas desde la cuenta de la compañía Experimental, a su cuenta personal, las hizo en virtud de una supuesta “deuda” que mantenían con él los otros socios de la compañía Experimental, entre ellos, el actual gerente de dicha empresa.
f) PRUEBAS
En el presente caso, a fin de poder probar la teoría del caso, tenemos identificadas pruebas testimoniales, documentales y periciales. 35
I. Prueba testimonial:
- Testimonio del Ingeniero Daniel Villarreal Pastaza, actual gerente de la compañía Experimental.
- Testimonio de los señores Carlos Bueno García y Rita Fernández Ordoñez, funcionarios del Banco Equinoccial, Área de Cash Management.
- Testimonio de Alfredo Antonio Donoso Cevallos, socio de los señores Benito Coba Claudio y Daniel Villarreal Pastaza en la compañía Experimental.
- Testimonio del perito, Cabo de Policía Juan Chicaiza Solano, quien realizó la diligencia de reconocimiento del lugar de los hechos. - Testimonio del Economista Oswaldo Pavón Herrera, perito contable acreditado ante el Consejo de la Judicatura.
- Testimonio de los Ingenieros Diego Pánchez Villalba y Rafael Melgarejo Heredia, peritos informáticos debidamente acreditados ante el Consejo de la Judicatura.
II. Prueba documental:
- Nombramiento del señor Daniel Villarreal Pastaza en calidad de gerente general de la compañía Experimental, en el mes de marzo del 2013.
- Oficio del señor Daniel Villarreal Pastaza dirigido al Banco Equinoccial en el mes de marzo del 2013, solicitando la revocación del usuario y claves informáticos del ex gerente de la empresa Experimental, señor Benito Coba Claudio.
- Documentos de soporte del CASH MANAGEMENT del perfil Operador (asignado al señor Alfredo Antonio Donoso Cevallos) y del perfil Full (asignado al señor Benito Coba Claudio).
- Documentos de transacción generados por el CASH MANAGEMENT, en los cuales se registran las transferencias con destino a la cuenta del señor Benito Coba Claudio.
36
- Convenio suscrito entre el Banco Equinoccial y la empresa Experimental, para la acreditación de los USD$ 21.000 del perjuicio, en mayo del 2013.
- Movimientos bancarios de la cuenta de la compañía Experimental y de la cuenta del señor Benito Coba Claudio, correspondientes al mes de abril del 2013, información proporcionada por el Banco Equinoccial.
III. Prueba pericial:
- Informe pericial informático realizado por los Ingenieros Diego Pánchez Villalba y Rafael Melgarejo Herrera.
- Informe pericial contable presentado por el Economista Oswaldo Pavón Herrera.
- Informe N° 342-PJP de reconocimiento del lugar de los hechos, suscrito por el Cabo de Policía, Juan Chicaiza Solano. g) FORTALEZAS
- Existen los elementos necesarios que demuestran el resultado del delito, es decir, a qué cuenta fue transferido el dinero de la empresa Experimental;
- Existe el testimonio del asociado común de los señores Benito Coba Claudio y Daniel Villarreal Pastaza, quien afirma que la empresa Experimental no adeudaba ningún concepto al señor Benito Coba Claudio.
- La prueba pericial informática demuestra el proceso de transacciones que se originaron en la cuenta de la empresa Experimental y que tuvieron como destino la cuenta del señor Benito Coba Claudio, en el mes de abril del 2013.
- La documentación de soporte del sistema CASH MANAGEMENT demuestra que solamente el señor Benito Coba Claudio, en su calidad de gerente general de la compañía Experimental, estaba habilitado con perfil FULL, esto es, la capacidad para realizar transferencias de dinero desde la cuenta de la compañía Experimental.
37
- El convenio suscrito entre el Banco Equinoccial y la compañía Experimental, demuestra que el perjuicio que sufrió la empresa Experimental fue ocasionado por un agente externo, cuya acción se vio facilitada por un error administrativo-operativo de los funcionarios del Área de CASH MANAGEMENT del Banco Equinoccial. h) DEBILIDADES
- En el informe pericial informático existe determinada la dirección IP de un terminal computacional cuya dirección física, si bien corresponde a la ciudad de Quito, no tiene relación con alguna ubicación relacionada con el señor Benito Coba Claudio.
- Los peritos informáticos no pudieron determinar la dirección MAC, que es el identificador único de la tarjeta de red de una computadora en este caso, lo que implica que el delito debería ser considerado únicamente por su resultado final, es decir, por el destino de la acreditación de los fondos de la compañía Experimental en la cuenta del señor Benito Coba Claudio.
- Existe un error operativo bancario que facilita la comisión del delito, lo que podría ser interpretado como una condición de autorización del Banco Equinoccial al señor Benito Coba Claudio, para que el mismo siguiese actuando con perfil FULL de operaciones, a través del sistema CASH MANAGEMENT, en la cuenta de la compañía Experimental. I) INTERROGATORIOS
1) Preguntas introductorias:
A los señores peritos.
Indique al Tribunal de Garantías Penales sobre su experiencia profesional.
A los testigos de cargo.
Explique las funciones que desempeñaba en el Banco Equinoccial o en la compañía Experimental.
38
2) Preguntas de relación de los testigos con los hechos:
A los señores peritos informáticos.
¿Qué observó en los logs o registros informáticos de respaldo extraídos de los servidores del Banco Equinoccial, relativos a las transacciones de la cuenta de la compañía Experimental, correspondientes a los días 18, 19 y 21 de abril del 2013?
Al señor Daniel Villarreal Pastaza, actual Gerente de la compañía Experimental.
¿La compañía Experimental mantenía alguna deuda con el señor Benito Coba Claudio a la fecha en que éste cesó en sus funciones como gerente general de la empresa Experimental?
A los funcionarios del Banco Equinoccial.
¿Cómo se llevó a cabo el trámite de revocación del usuario y clave del señor Benito Coba Claudio en el sistema CASH MANAGEMENT, posterior a la presentación de la carta suscrita por el señor Daniel Villarreal Pastaza?
3) Preguntas de descripción:
Al señor perito contable.
¿Qué tipo de transacciones identificó en su examen, relacionadas con operaciones de transferencias bancarias realizadas entre las cuentas de la compañía Experimental y el señor Benito Coba Claudio?
A los funcionarios del Banco Equinoccial.
Describa el proceso de transferencias que se realiza a través del sistema CASH MANAGEMENT.
39
Al señor Alfredo Antonio Donoso Cevallos, ex socio del señor Benito Coba Claudio.
Explique en qué consistían las operaciones o transacciones que usted podía realizar con el perfil OPERADOR en el sistema Cash Management.
¿Eran iguales las funciones que podía realizar el perfil OPERADOR respecto del perfil FULL en el sistema CASH MANAGEMENT?
J) ALEGATO DE CLAUSURA
Fiscalía ha probado la existencia material de la infracción, con los siguientes elementos: Testimonio del actual gerente de la compañía Experimental, señor Daniel Villarreal Pastaza, quien ha indicado que tiene la calidad de gerente general de la compañía Experimental, desde el mes de marzo del 2013, y para ello ha presentado copia debidamente notarizada de su nombramiento vigente por dos años; testimonio del procurador judicial del Banco Equinoccial, doctor Luis Sempértegui Fernández, quien ha demostrado la calidad de perjudicado que tiene el Banco, presentando ejemplar debidamente protocolizado del convenio suscrito entre el Banco Equinoccial y la compañía Experimental; testimonios de Carlos Bueno García y Rita Fernández Ordoñez, funcionarios del Banco Equinoccial, quienes han descrito cuál fue el tratamiento que dieron a la solicitud presentada por parte del señor Daniel Villarreal Pastaza, actual gerente general de la compañía Experimental. Han reconocido que por errores operativos no deshabilitaron el usuario y la clave de acceso del señor Benito Coba Claudio, en el mes de marzo del 2013, realizándolo sin fallas, en el mes de mayo del 2013, cuando las transacciones materia de la investigación penal ya fueron efectuadas, alertados por la carta de reclamo que presentó el señor Daniel Villarreal Pastaza al Banco Equinoccial; Testimonio de Alfredo Antonio Donoso Cevallos, socio de los señores Benito Coba Claudio y Daniel Villarreal Pastaza en la compañía Equinoccial, quien manifestó que en calidad de miembro directivo de la compañía Experimental,
podía
únicamente visualizar los saldos y movimientos de la cuenta de la empresa Experimental en el sistema CASH MANAGEMENT, indicó que su perfil era OPERADOR y no full, y que en calidad de OPERADOR, alertó al señor Daniel Villarreal Pastaza respecto de las transferencias fraudulentas realizadas por parte del señor Benito Coba Claudio, cuando realizó la revisión mensual de los saldos de cuenta de la empresa Experimental, a finales del mes de abril del 2013; testimonio del Cabo de Policía Juan Chicaiza Solano, quien realizó la diligencia de reconocimiento del lugar de los hechos, estableciendo la dirección de la 40
compañía Experimental en la ciudad de Quito; testimonio del Economista Oswaldo Pavón Herrera, perito contable acreditado ante el Consejo de la Judicatura, quien ha indicado que su examen determina que ha existido un egreso de activo patrimonial de la cuenta de la compañía Experimental, por el valor de USD$ 21.000, que ha tenido como destino la cuenta que tiene en el Banco Equinoccial el señor Benito Coba Claudio; y, el testimonio de los Ingenieros Diego Pánchez Villalba y Rafael Melgarejo Heredia, peritos informáticos debidamente acreditados ante el Consejo de la Judicatura, quienes han referido detalladamente respecto del funcionamiento del sistema CASH MANAGEMENT y han explicado informáticamente la forma en que se realizó las transferencias de fondos, originándose ésta en la cuenta de la compañía Experimental, con destino a la cuenta personal del señor Benito Coba Claudio, ambas activas en el Banco Equinoccial.
La materialidad de la infracción ha quedado comprobada también, con los documentos relativos al convenio suscrito entre la compañía Experimental y el Banco Equinoccial, en el mes de mayo del 2013, así como con los documentos generados del sistema CASH MANAGEMENT que acreditan la transferencias de fondos desde la cuenta de la empresa Experimental, con destino a la cuenta personal del señor Benito Coba Claudio. De igual forma, se hallan presentados los informes de reconocimiento del lugar de los hechos, pericia informática y pericia contable.
Respecto a la participación y responsabilidad del señor Benito Coba Claudio en los hechos que se han investigado, debemos indicar que el procesado no ha logrado justificar el motivo de las transferencias que realizó con destino a su cuenta, en el mes de abril del 2013; no ha presentado documentos justificativos de que la compañía Experimental mantuviese una deuda con su persona, tal como lo supo manifestar en su testimonio. Los documentos que ha presentado en juicio, se refieren a negocios realizados con sus ex socios, señores Daniel Villarreal Pastaza y Alfredo Antonio Donoso Cevallos, negocios que no involucran el capital social o el patrimonio de la compañía Experimental. Y aún en el supuesto de que la compañía hubiese debido algo al actual procesado, su actuación arbitraria respecto de los fondos de la compañía Experimental, es antijurídica, pues aprovechó el hecho de que su usuario y clave no fueron revocados por el Banco Equinoccial, para realizar transferencias de dinero a su cuenta personal, con plena conciencia y voluntad de que sus acciones eran ilegales, ya que había dejado de ser administrador de la compañía Experimental, en el mes de marzo del 2014.
41
Conforme al artículo 65 del Código de Procedimiento Penal vigente al momento de la comisión del delito, se han practicado todos los actos idóneos y necesarios para probar la responsabilidad y materialidad del presente delito (nexo causal, actual artículo 455 del COIP), habiéndose configurado en este caso la conducta descrita en el artículo 553.1 del Código Penal vigente al momento de la comisión del delito (artículo 190 del actual COIP), puesto que el señor Benito Coba Claudio, teniendo el dominio del hecho, y con plena conciencia y voluntad, procedió a transferirse a su cuenta personal, la suma de USD$ 21.000 desde la cuenta de la compañía Experimental, aprovechándose del error operativo en que incurrió el Banco Equinoccial, institución que facilitó la consumación del ilícito, y cuya responsabilidad por negligencia fue causa de la reparación económica a la empresa Experimental, mediante el convenio suscrito en el mes de mayo del 2013 con el actual gerente general de la compañía Experimental, señor Daniel Villarreal Pastaza.
El señor Benito Coba Claudio tiene la calidad de AUTOR de la infracción cometida en contra de la empresa Experimental, cuyo perjuicio económico asumió el Banco Equinoccial, conforme lo demostró la pericia contable. Se violentó por parte del procesado el derecho de propiedad consagrado en la Constitución de la República vigente, artículo 66, numeral 26; en consecuencia, al haberse cumplido todos los requisitos que exigen los artículos 304-A y 312 del Código de Procedimiento Penal vigente a la fecha de la comisión de la infracción (actual artículo 622 del COIP), pido, señores jueces, que al procesado se le aplique el máximo de la pena privativa de libertad contemplada en el artículo 553.1 del Código Penal vigente a la fecha de la infracción (actual artículo 190 del COIP) y que además se lo condene a la reparación económica integral al actual afectado económico, Banco Equinoccial, por la suma de USD$ 21.000 más los intereses de Ley generados por esa suma de dinero, y, la condena del pago de costas procesales.
42
N° 2: TEORÍA DEL CASO DE LA DEFENSA DEL PROCESADO4
a) TÍTULO: COMPRAS ELECTRÓNICAS FRAUDULENTAS EN MEGAMAXI DE LA CIUDAD DE QUITO. b) RELATO DE LOS HECHOS
En fecha 15 de junio del 2012, el señor Edison Sango Páez fue detenido en las instalaciones del MEGAMAXI ubicado en el Centro Comercial El Recreo de la ciudad de Quito, realizando compras con una tarjeta prepago PACIFICARD. Cuando se acercó a la caja N° 15 del local comercial, iba a realizar la compra de un equipo de sonido valorado en USD$ 850, pero el cajero de Megamaxi, señor Fernando Vinicio Mena Bonilla, advirtió que cuando procesó la transacción de pago con la tarjeta Prepago PACIFICARD del señor Sango, al imprimirse el voucher, los dos últimos números de los cuatro que salen, y que son correspondientes a la tarjeta que se presenta al pago, NO coincidían con los de la tarjeta que se entregó para el pago. Ante esta situación, el señor Edison Sango fue detenido por los guardias de Megamaxi, quienes inmediatamente llamaron a la Policía Nacional, que realizó y legalizó la detención.
La tarjeta prepago PACIFICARD que estaba en poder del señor Edison Sango Páez, tenía inserta una banda magnética que contenía los datos y códigos electrónicos de una tarjeta Visa Banco Continental, cuyo titular era el señor Jonás Merlo Hidalgo. Al realizarse las constataciones respectivas por parte del Banco, se determinó que en el período comprendido entre el 1 de junio y el 15 de junio del 2012, el señor Edison Sango Páez había realizado compras en los almacenes Megamaxi y Santa María, en las ciudades de Quito y Ambato, con cargo a la tarjeta de crédito Visa del señor Jonás Merlo Hidalgo, por un monto aproximado de USD$ 12.000, no obstante de lo cual, al momento de ser detenido, se constató únicamente las compras que había realizado por una suma total de USD$ 1.560.
4
Este segundo ejercicio práctico ha sido formulado en base a un caso real que se suscitó en la ciudad de Quito. Los nombres de los sujetos intervinientes han sido cambiados para proteger su derecho constitucional a la intimidad y a la privacidad.
43
c) ALEGATO DE APERTURA
En esta audiencia voy a demostrar que mi defendido, señor Edison Sango Páez, fue víctima de una estafa de tipo comercial, y que las compras que realizó en el local del Megamaxi de la ciudad de Quito, las hizo con absoluto desconocimiento de la circunstancia que se indica ha tenido la tarjeta prepago PACIFICARD, esto es, que la banda magnética inserta en la misma, ha sido previamente clonada de una tarjeta VISA del señor Jonás Merlo Hidalgo y luego insertada en dicha tarjeta prepago.
Voy a demostrar también que no existe el delito de uso doloso de documento falso que ha acusado la Fiscalía, y que mi defendido no tiene el conocimiento ni la capacidad de efectuar clonación de tarjetas o copia electrónica de claves. d) TEORÍA JURÍDICA
La Fiscalía de Pichincha ha acusado al señor Edison Sango Páez por el delito tipificado en el artículo 340 del Código Penal, en concordancia con el artículo 341 del mismo cuerpo legal, vigente a la fecha de comisión del delito, esto es, utilización dolosa de documento privado falso. Sin embargo, los hechos se encuadran presuntamente en lo establecido por el artículo 353.1 del mismo Código Penal, en relación con la falsificación electrónica de la cual fue objeto la banda magnética de la tarjeta de crédito VISA del señor Jonás Merlo Hidalgo.
Para que exista autoría en el presente caso, el sujeto responsable de la infracción debe incurrir en alguna de las modalidades establecidas en el artículo 42 del actual COIP:
Autoría directa
Quienes cometan la infracción de una manera directa e inmediata.
Quienes no impidan o procuren impedir que se evite su ejecución teniendo el deber jurídico de hacerlo.
44
Autoría mediata
Quienes instiguen o aconsejen a otra persona para que cometa una infracción, cuando se demuestre que tal acción ha determinado su comisión.
Quienes ordenen la comisión de la infracción valiéndose de otra u otras personas, imputables o no, mediante precio, dádiva, promesa, ofrecimiento, orden o cualquier otro medio fraudulento, directo o indirecto.
Quienes por violencia física, abuso de autoridad, amenaza u otro medio coercitivo, obliguen a un tercero a cometer la infracción, aunque no pueda calificarse como irresistible la fuerza empleada con dicho fin. Quienes ejerzan un poder de mando en la organización delictiva. e) PROPOSICIONES FÁCTICAS
- El señor Edison Sango Páez, adquirió una tarjeta prepago PACIFICARD en el mes de mayo del 2012, a través de una oferta comercial.
- El señor Edison Sango Páez, ignoraba que en la tarjeta prepago PACIFICARD había sido insertada una banda magnética que correspondía a la copia o clonación de los datos electrónicos de la tarjeta de crédito VISA del señor Jonás Merlo Hidalgo.
- El señor Edison Sango Páez era comprador de buena fe el día 15 de junio del 2014, pues presenta una tarjeta PACIFICARD en la cual está grabado su nombre. Las compras las realiza por el valor de USD$ 1.560 y fue detenido por los guardias del Megamaxi únicamente por “apresurarse al realizar las compras”.
- El señor Edison Sango Páez, no tiene conocimientos técnicos para realizar una operación de clonación electrónica de tarjetas. Es padre de familia, gana un sueldo en una institución privada y su trabajo no tiene relación con temas informáticos, electrónicos o de la banca o instituciones de crédito.
45
- No existen pruebas testimoniales que acrediten las compras realizadas por mi defendido, entre el 1 y el 14 de junio del 2015, en los almacenes de Supermaxi y Santamaría. El reclamo presentado por parte del señor Jonás Merlo Hidalgo referente a los consumos que se acreditaron a su tarjeta de crédito VISA, no es prueba de que el señor Edison Sango Páez los haya realizado.
- El perjudicado u ofendido por la presunta infracción es el señor Jonás Merlo Hidalgo, quien no ha comparecido a juicio. El Banco Continental que es la institución financiera que emite la tarjeta VISA, no puede invocar la calidad de ofendido por la infracción, pese a haber presentado acusación particular, puesto que no cumple con los presupuestos del artículo 68 del Código de Procedimiento Penal vigente a la fecha de comisión del delito (víctima del delito según el actual artículo 441 del COIP). f) PRUEBAS
En el presente caso, a fin de poder probar la teoría del caso, tenemos identificadas pruebas testimoniales, documentales y periciales. I. Prueba testimonial:
- Testimonio del señor Edwin Pazmiño Sagbay, Subteniente de Policía que realizó la detención de Edison Sango Páez, el 15 de junio del 2012.
- Testimonio del señor Hugo Vidal Méndez, guardia de seguridad del Centro Comercial Megamaxi.
- Testimonio de la señorita Magdalena Bedoya Ruiz, cajera de MEGAMAXI, quien receptó el pago de USD$ 400 por compras de alimentos por parte del señor Edison Sango Páez, el mismo día 15 de junio del 2012, sin que se presenten problemas.
- Testimonio del Ingeniero Milton Efraín Jaque Tarco, perito informático del Laboratorio de Criminalística de la Policía Judicial de Pichincha.
- Testimonio del Cabo de Policía Moisés Alipio Beltrán Castro, perito documentológico del Laboratorio de Criminalística de la Policía Judicial de Pichincha. 46
- Testimonio de la señora Rita Maldonado Maridueña sobre la honorabilidad de Edison Oswaldo Sango Páez. - Testimonio del Economista Oswaldo Víctor Rodríguez Ojeda, ministro de culto evangélico, sobre el comportamiento y honorabilidad de Edison Oswaldo Sango Páez. II. Prueba documental:
- Certificados de referencias comerciales, otorgados por instituciones del sistema financiero y almacenes de la ciudad de Quito.
- Certificados que acreditan honorabilidad del señor Edison Sango Páez.
- Certificado único conferido por los Tribunales de Garantías Penales de Pichincha, de que el señor Edison Sango Páez no está siendo juzgado por ningún delito de acción pública diferente al de la presente causa.
- Certificado único conferido por los juzgados de Garantías Penales de Pichincha, de que el señor Edison Sango Páez no ha sido procesado por ninguna otra causa penal diferente a la que actualmente se juzga.
III. Prueba pericial:
- Informe pericial informático realizado por el Ingeniero Milton Jaque Tarco, perito del Laboratorio de Criminalística de la Policía Judicial de Pichincha, e informe ampliatorio solicitado por Edison Sango Páez.
- Pericia grafotécnica realizada por el Cabo de Policía Moisés Alipio Beltrán Castro, perito del Laboratorio de Criminalística de la Policía Judicial de Pichincha, que determina que las firmas constantes en los vouchers del MEGAMAXI que constan en la cadena de custodia adjunta al parte de detención de 15 de junio del 2012, se corresponden gráfica y morfológicamente con las firmas y rúbricas de la cédula del señor Edison Sango Páez.
47
g) FORTALEZAS
- Se cuenta con el testimonio de la cajera del MEGAMAXI, señorita Magdalena Bedoya Ruiz, quien ha indicado que el señor Edison Sango Páez realizó una compra de USD$ 400, el 15 de junio del 2012, pagando en su caja, sin que se reporte ninguna novedad.
-
La prueba pericial informática demuestra el proceso con el cual se clonó la banda
magnética de la tarjeta VISA Banco Continental cuyo titular es el señor Jonás Merlo Hidalgo, pero en
la ampliación solicitada, la pericia determina que el molde físico de la tarjeta
PREPAGO PACIFICARD es auténtico, razón por la cual, no ha existido falsificación de la tarjeta en sí misma, sino de la banda magnética.
- No existe una pericia contable que demuestre el perjuicio alegado por la acusación particular (Banco Continental) por la suma de USD$ 12.000 en virtud de compras realizadas con débito a la tarjeta VISA del señor Jonás Merlo Hidalgo, desde el 1 al 14 de junio del 2012. En tal virtud, solamente existen vouchers de compra por el valor de USD$ 1.560.
- Las certificaciones bancarias, referencias comerciales y certificados de los Tribunales y juzgado de Garantias Penales, demuestran que el señor Edison Sango Páez es una persona solvente, comercialmente activa y que ha utilizado otros instrumentos para sus transacciones, sin presentar inconvenientes con los mismos.
- El señor Jonás Merlo Hidalgo, titular de la tarjeta VISA, no presentó acusación particular ni se presentó en calidad de ofendido al juicio.
- La firma del señor Edison Sango Páez que consta en los vouchers de compra en el MEGAMAXI, de fecha 15 de junio del 2012, se corresponde con la firma auténtica de mi defendido que consta en su cédula de ciudadanía, esto es, realizó las compras de buena fe, en forma personal y con su verdadera identidad.
h) DEBILIDADES
- El testimonio del cajero de MEGAMAXI, señor Fernando Mena Bonilla, cajero N° 15, quien asegura que al procesar la transacción de compra del señor Edison Sango Páez, por la
48
suma de USD$ 850 dólares, encontró inconsistencia de los datos de la tarjeta prepago PACIFICARD, respecto de los datos numéricos insertos en el voucher de compra.
- Existen los estados de cuenta de la tarjeta VISA del señor Jonás Merlo Hidalgo que efectivamente establecen consumos en los locales MEGAMAXI y SANTAMARIA, en el período comprendido entre el 1 al 15 de junio del 2012, consumos que han sido reclamados por el señor Jonás Merlo Hidalgo al Banco Continental.
- Si bien la compra que fue causa de la detención flagrante suma un total de USD$ 1.560, el cupo de compras de una tarjeta prepago PACIFICARD, no tiene relación con el cupo de compras que puede tener una tarjeta VISA tipo internacional de las características de la que usa el señor Jonás Merlo Hidalgo.
- Existe una experticia documentológica realizada también por el Cabo de Policía Moisés Alipio Beltrán Castro, perito del Laboratorio de Criminalística de la Policía Judicial de Pichincha, que indica que la tarjeta prepago emitida por PACIFICARD no cumple con las medidas o parámetros de seguridad que se establecen para una tarjeta de crédito, por lo que determina que dicha tarjeta presuntamente no podía ser utilizada para realizar compras a crédito, no obstante, reconoce la autenticidad del molde o envasado de dicha tarjeta.
I) INTERROGATORIOS
1) Preguntas introductorias:
A los guardias de seguridad de Megamaxi
¿Cuál fue la razón por la que a ustedes les pareció inusual la compra que estaba realizando el señor Edison Sango Páez en el MEGAMAXI el día 15 de junio del 2012?
Al representante judicial del Banco Continental, acusador particular
¿Cuál es la justificación de su comparecencia como víctima u ofendido en este juicio?
¿Se practicó una pericia contable que haya determinado el perjuicio de USD$ 12.000 alegado en la acusación particular? 49
2) Preguntas de relación de los testigos con los hechos:
A la señorita Magdalena Bedoya Ruiz, cajera de Megamaxi
Indique el proceso de compra que realizó el señor Edison Sango Páez en su caja en el centro comercial Megamaxi.
¿Existió alguna inusualidad en la transacción de compra que realizó en su caja el señor Edison Sango Páez, el 15 de junio del 2012?
Al señor Fernando Mena Bonilla, cajero del MEGAMAXI.
¿Usted determinó que la tarjeta prepago PACIFICARD del señor Edison Sango Páez era falsa?
¿Su compañera Magdalena Bedoya Ruiz le reportó a usted de la existencia de alguna anormalidad en la transacción procesada por ella, minutos antes de que el señor Edison Sango Páez se acercase a su caja? ¿El nombre impreso en el voucher que se le exhibe dice “Edison Sango”?
3) Preguntas de descripción:
Al perito informático Milton Jaque Tarco.
¿Se necesita un procedimiento técnico especializado para la clonación de la banda magnética de una tarjeta de crédito?
¿Se requiere un conocimiento especial para el envasado de la banda magnética de una tarjeta de crédito en el molde de otra?
50
Al perito grafotécnico Moisés Alipio Beltrán Castro.
Explique las características de la firma inserta en el voucher de compra que se exhibe, en relación a la firma y rúbrica del señor Edison Sango Páez constante en su cédula de ciudadanía.
Indique si la tarjeta prepago PACIFICARD que se le exhibe es una tarjeta de molde falsificado o si se trata de una tarjeta auténtica.
Al señor Economista Oswaldo Víctor Rodríguez Ojeda, ministro de culto evangélico.
Indique sobre la personalidad y el comportamiento que tiene el señor Edison Sango Páez en el barrio y comunidad en la cual vive, si se trata de una persona honorable o si ha tenido disputas o problemas con personas del lugar. J) ALEGATO DE CLAUSURA
Se ha demostrado que no existe responsabilidad de mi defendido, señor Edison Sango Páez, con las siguientes pruebas: Testimonio del procesado Edison Sango Páez, quien ha manifestado tener instrucción secundaria y cuya formación profesional o técnica no le permite tener conocimientos técnicos especializados en materia informática o electrónica, por lo que es imposible que mi defendido haya podido realizar la clonación de la banda magnética de la tarjeta VISA del señor Jonás Merlo Hidalgo, peor aún introducirla y ponerla en funcionamiento en el molde de la tarjeta prepago PACIFICARD; testimonio del perito informático, Ingeniero Milton Jaque Tarco, quien ha descrito el proceso por el cual se lleva a cabo la copia o clonación informática de la banda magnética de una tarjeta de crédito o débito, estableciendo que se necesitan conocimientos especializados en informática para realizar este tipo de procesos; testimonio del perito documentológico Moisés Alipio Beltrán Castro, quien ha confirmado que el soporte físico de la tarjeta prepago PACIFICARD es auténtico y no presenta falsificación en cuanto a su contenido y características; testimonio de la señorita Magdalena Bedoya Ruiz, cajera de Megamaxi, quien refiere la compra de productos por la suma de USD$ 400 por parte del señor Edison Oswaldo Sango Páez, transacción que no presentó novedades, refiriendo además que los guardias del establecimiento son quienes se acercaron a la cajas a indicar que les pareció sospechosa la forma como el señor Edison Oswaldo Sango Páez y su esposa escogían los productos en 51
las estanterías, sin mirar los precios; testimonio del guardia de MEGAMAXI, Hugo Vidal Méndez, quien establece que el motivo de la aprehensión del señor Edison Oswaldo Sango Páez fue la de sospechar de él por la forma en que escogió los productos de las estanterías en el MEGAMAXI, sin mirar los precios, y que de este particular alertó al cajero N° 15, señor Fernando Mena Bonilla, lo que significa que no existió un motivo justificado para la aprehensión flagrante de que fue objeto el señor Edison Oswaldo Sango Páez; testimonios de honorabilidad que demuestran la buena conducta social de mi defendido en su vida diaria en la comunidad.
Con la pericia grafotécnica practicada sobre las firmas del señor Edison Oswaldo Sango Páez, insertas en los vouchers de compra del MEGAXI, de fecha 15 de junio del 2012 se ha comprobado que estas firmas son auténticas, lo que demuestra que mi defendido era comprador de buena fe. La tarjeta de crédito prepago PACIFICARD es una tarjeta que fue adquirida en la ciudad de Guayaquil, y la Fiscalía y la acusación particular no han podido probar de ninguna manera que esta tarjeta haya sido adquirida de forma ilícita, ya que su molde es auténtico.
Por otra parte, no se practicó durante la instrucción fiscal, ninguna pericia contable que demuestre el supuesto perjuicio alegado por la acusación particular, alcanzando la suma de USD$ 1.560 las compras efectuadas el día 15 de junio del 2012, no obstante de lo cual, la compra por la cual se creó el incidente de flagrancia es por la suma de USD$ 800 en la caja N° 15 del MEGAMAXI, en razón de lo cual, el supuesto perjuicio realmente determinable en este caso es una cantidad notablemente menor al perjuicio alegado por la acusación particular de USD$ 12.000. No ha podido probar de ninguna manera la acusación particular, el Banco Continental, que se trate de un delito continuado, presentando documentos y estados de cuenta de consumos del señor Jonás Merlo Hidalgo, en el período comprendido entre el 1 al 14 de junio del 2012.
Con todo el acervo probatorio indicado, se ha desvirtuado la teoría del caso de la Fiscalía y de la acusación particular, y al no existir responsabilidad de mi defendido en los hechos acusados por la Fiscalía, en virtud del resultado de la infracción conforme al tipo penal que se ha juzgado, esto es, falsificación y uso doloso de documento privado falso, artículo 340 en concordancia con el 341 del Código Penal, pedimos a ustedes, señores jueces, se sirvan confirmar en sentencia, el estado de inocencia de mi defendido, señor Edison Oswaldo
52
Sango Páez y ordenen el levantamiento de todas las medidas cautelares que pesan sobre su persona.
Así mismo se servirán declarar como maliciosa y temeraria la acusación particular presentada por el Banco Continental, ya que no ha logrado justificar su calidad de víctima dentro del presente caso, así como tampoco ha demostrado a través de una pericia contable, el supuesto perjuicio de USD$ 12.000 que alega que se ha producido a consecuencia de las compras realizadas supuestamente por el señor Edison Oswaldo Sango Páez, con cargo a su tarjeta VISA Banco Continental, en el periodo comprendido entre el 1 y el 15 de junio del 2012.
En el caso no consentido de no aceptarse las pruebas del estado de inocencia de mi defendido, solicito al Tribunal acoger las pruebas que se han presentado de buena conducta y ausencia de antecedentes penales judiciales de Edison Oswaldo Sango Páez, para que se apliquen circunstancias atenuantes del artículo 29 del Código Penal vigente hasta el 9 de agosto del 2014, actuales artículos 45 y 46 del Código Orgánico Integral Penal que me permito citar: Art. 45 del COIP.- Circunstancias atenuantes de la infracción.- Son circunstancias atenuantes de la infracción penal: 1.- Cometer infracciones penales contra la propiedad sin violencia, bajo la influencia de circunstancias económicas apremiantes. 2.- Actuar la persona infractora por temor intenso o bajo violencia. 3.- Intentar, en forma voluntaria anular o disminuir las consecuencias de la infracción o brindar auxilio y ayuda inmediatos a la víctima por parte de la persona infractora. 4.- Reparar de forma voluntaria el daño o indemnizar integralmente a la víctima. 5.- Presentarse en forma voluntaria a las autoridades de justicia, pudiendo haber eludido su acción por fuga u ocultamiento. 6.- Colaborar eficazmente con las autoridades en la investigación de la infracción.
Art. 46 del COIP.- Atenuante trascendental.- A la persona procesada que suministre datos o informaciones precisas, verdaderas, comprobables y relevantes para la investigación, se le impondrá un tercio de la pena que le corresponda, siempre que no existan agravantes no constitutivas o modificatorias de la infracción.
53
CAPÍTULO IV CADENA DE CUSTODIA EN LOS DELITOS INFORMÁTICOS Y ELECTRÓNICOS QUE AFECTAN A LAS INSTITUCIONES DEL SISTEMA FINANCIERO
1.- ¿Qué es la cadena de custodia?
Se define como cadena de custodia, al procedimiento ordenado y concatenado de registro y manejo de la evidencia materia de la investigación de un delito, y, a decir de Rubén Angulo González1, “es el documento escrito donde quedan reflejadas las incidencias de una prueba”. Fabio Espitia Garzón establece que la cadena de custodia “es el procedimiento que consiste en la recolección, el debido embalaje, la identificación, la rotulación y el almacenaje de las evidencias encontradas en la escena del crimen con el fin de precautelar su integridad”.2
La cadena de custodia constituye una garantía para los sujetos que intervienen en un proceso penal en el cual se garantizan los derechos de las partes. La libertad probatoria de los sujetos procesales debe enmarcarse dentro de la legalidad de un procedimiento que asegure que éstos puedan aportar las evidencias al proceso en condición íntegra y auténtica, y permita constatar que las evidencias obtenidas son originales o extracciones verídicas de las fuentes; tal como los eslabones de una cadena, se debe describir con extrema suficiencia documental, cada uno de los pasos dados para la custodia de la evidencia.
El artículo 456 del COIP, establece que la cadena de custodia se aplicará a los elementos físicos o contenido digital materia de la prueba, para garantizar su autenticidad, acreditando su identidad y estado original; las condiciones, las personas que intervienen en la recolección, envío, manejo, análisis y conservación de estos elementos, incluyendo los cambios hechos en ellos por cada custodio.
La cadena se inicia en el lugar donde se obtiene, encuentra o recauda el elemento de prueba y finaliza por orden de la autoridad competente. Son responsables de su aplicación, el personal del Sistema Especializado Integral de Investigación, de Medicina Legal y de Ciencias Forenses y el personal del Laboratorio de Criminalística, ambos pertenecientes a la Policía Técnica Judicial; el personal competente en materia de tránsito y todos los
1
Angulo González, Rubén, citado por Meek Neira, Michael. (2013). Delito Informático y Cadena de Custodia (p. 157). Bogotá, Colombia: Universidad Sergio Arboleda.
2
Espitia Garzón, Fabio, Cfr. (2011). Instituciones de Derecho Procesal Penal, 8va. Ed. (pp. 290-291). Bogotá, Colombia: Legis.
55
servidores públicos y particulares que tengan relación con estos elementos, incluyendo del personal de servicios de salud que tengan contacto con elementos físicos que puedan ser de utilidad en la investigación.
El artículo 457 del COIP, dispone que la valoración de la prueba se realice teniendo en cuenta su legalidad, autenticidad, sometimiento a cadena de custodia y grado actual de aceptación científica y técnica de los principios en que se fundamenten los informes periciales.
La demostración de la autenticidad de los elementos probatorios y evidencia física no sometida a cadena de custodia, estará a cargo de la parte que los presente.
Los servidores públicos y personas particulares son responsables de la preservación de los indicios materia de un hecho delictivo, hasta el momento de contar con la presencia de personal especializado, de acuerdo al artículo 458 del Código Orgánico Integral Penal.
La ruptura de la cadena de custodia en cualquiera de sus eslabones no solo pone en duda la decisión judicial que se funda en tales hechos indicadores para determinar la comisión de un hecho punible, sino que también puede afectar, con base en la “teoría del árbol envenenado”, a otras pruebas que tengan relación directa con la prueba impugnada, por lo cual están condenadas a la inexistencia procesal a título de remedio para su actuación, porque las ilicitudes probatorias no pueden generar licitudes o consecuencias de tipo procesal. El artículo 250, inciso cuarto, numeral tercero de la Constitución de la República dispone que una de las misiones de la Fiscalía General del Estado es la de asegurar los elementos materiales probatorios, garantizando la cadena de custodia, mientras se ejerce su contradicción.
2.- Evidencia digital y sus diferencias con la prueba documental
Contenido digital, tal como lo contempla el artículo 500 del Código Orgánico Integral Penal, es todo acto informático que representa hechos, información o conceptos de la realidad, almacenados, procesados o trasmitidos por cualquier medio tecnológico que se preste a tratamiento tecnológico aislado, interconectado o relacionados entre sí.
En la investigación se seguirán las siguientes reglas:
56
1.- El análisis, valoración y recuperación y presentación del contenido digital almacenado en dispositivos o sistemas informáticos, se realizará a través de técnicas digitales forenses.
2.- Cuando el contenido digital se encuentre almacenado en sistemas y memorias volátiles o equipos tecnológicos que formen parte de la infraestructura crítica del sector público o privado, se realizará su recolección, en el lugar y en tiempo real, con técnicas digitales forenses para preservar su integridad, se aplicará la cadena de custodia y se facilitará su posterior valoración y análisis de contenido.
3.- Cuando el contenido digital se encuentre almacenado en medios no volátiles, se realizará su recolección con técnicas digitales forenses para preservar su integridad, se aplicará la cadena de custodia y se facilitará su posterior valoración y análisis de contenido.
4.- Cuando se recolecte cualquier medio físico que almacene, procese o trasmita contenido digital durante una investigación, registro o allanamiento, se deberá identificar e inventariar cada objeto individualmente, se fijará su ubicación física con fotografías y un plano del lugar, se protegerá a través de técnicas digitales forenses y se trasladará mediante cadena de custodia a un centro de acopio especializado para este efecto.
Es el COIP el que establece algunas reglas para el manejo y conservación de los indicios o evidencias de los delitos informáticos y electrónicos, ya que el Manual de Cadena de Custodia emitido por el Consejo Directivo de la Policía Judicial y publicado en el Registro Oficial N° 314, de 19 de agosto del 2014, no explica los métodos específicos de conservación de la evidencia informática, tanto aquella que se halla almacenada en sistemas, servidores y bases de datos informáticas, como la que constituye el hardware o parte física del computador (discos duros) o bien memorias, ya sean éstas fijas o portátiles; no podemos olvidarnos tampoco que, con el avance de la tecnología, la prueba informática puede estar almacenada en medios físicos tales como teléfonos celulares, tabletas o similares aparatos que funcionan en base a programas informáticos. Michael Meek Neira manifiesta que: “Si bien es cierto que tal y como ocurre con la prueba documental, la evidencia digital está en capacidad de representar un hecho con relevancia procesal, también puede plasmar no solo hechos, sino cualquier objeto presente en el mundo físico o en la imaginación de usuarios, de tal manera que puede convertirse en el
57
bien de representación por excelencia; incluso puede facilitar que se impartan comandos a un sistema informático para el desarrollo automático de distintas operaciones”.3
La materialidad versus la inmaterialidad de la evidencia digital se torna en una diferencia fundamental. La prueba documental exige en su estructura la corporalidad de la cosa mueble apreciable por los sentidos, donde reposa un mensaje del que se puede identificar a su autor; la prueba documental es entonces una cosa mueble susceptible de ser llevada a juicio. La evidencia digital también puede ser llevada a juicio, pero no de forma aislada a un sistema informático. Esto quiere decir que su medio de transporte es físico, pero su reproducción solo puede darse mediante un medio electrónico como un computador físico o portátil.
3.- Proceso de cadena de custodia de las evidencias o indicios de los delitos informáticos y electrónicos que afectan al sistema bancario ecuatoriano
Dependiendo de cuáles son los medios que se utilizan para perpetrar el delito, sea a través de programas informáticos o a través de la conexión de medios externos (discos duros, memorias externas, microchips, micro cámaras), la evidencia del delito informático debe ser recolectada para garantizar la mayor fidelidad posible al momento de reproducirse, sea para realizar una pericia electrónica o informática por parte de especialistas en la materia, y, al momento de presentar esta evidencia en juicio, para que tenga pleno valor procesal. Como lo indica el autor Michael Meek Neira4, “Se debe tener en cuenta que la información y los datos informáticos, al encontrarse en la inmaterialidad, almacenados en medios físicos que funcionan con electricidad, son extremadamente volátiles y, por su esencia, se hace necesario que todo el proceso que los involucra sea efectivamente documentado”. En el transcurso del proceso, todos los elementos materiales probatorios, evidencia física y digital del delito informático, deben contar con un respaldo legal que justifique su presentación en juicio, a través de sistemas automatizados de información.
3
Meek Neira, Michael, Delito Informático y Cadena de Custodia, Universidad Sergio Arboleda, Bogotá, 2013, páginas 147 a 150.
4
Meek Neira, Michael, Ibid, pp. 129-158.
58
3.1. Conservación de la evidencia informática
Las plataformas informáticas de los bancos cuentan actualmente con sistemas de detección de intrusiones externas que funcionan con relativo éxito. En lo posible, los bancos nacionales han tratado de proteger las cuentas virtuales de sus clientes, a través de antivirus que actúan en el momento en que se despliegan las páginas del portal bancario y que suelen actuar como sistemas de bloqueo del pishing o de páginas similares a la original que hacen reenvío del usuario bancario a otros destinos en la red informática, con la finalidad de apropiarse de sus datos personales y o claves personales de transacciones.
En cuanto a preservar evidencias de ataques informáticos, cuyas víctimas fueron el banco o sus clientes, el elemento conocido como IP (protocolo de internet) es sumamente importante para lograr una ubicación física del servidor o computador desde el cual se perpetró el ataque informático. Las IP pueden ser fijas o dinámicas conforme al manejo y distribución que de ellas haga el proveedor de servicios de Internet, por lo cual, la información de direcciones IP que están almacenadas en las bases de datos de proveedores de servicio de Internet es un elemento trascendente en la lucha con el cibercrimen. No obstante, conocer la dirección IP solamente garantiza poder determinar la ubicación del computador o terminal informática desde la cual se efectuó el ciberataque, pero no nos garantiza que pueda localizarse la identidad de aquella persona o personas que efectuaron el ciberataque; es por ello que a este tipo de delitos podríamos denominarlos “sin rostro” en cuanto se refiere a sus ejecutores informáticos, los auténticos autores del ciberdelito. Los beneficiarios de los dineros de transferencias no autorizadas por los titulares de cuentas, por lo general son terceras personas que tiene cuenta en el mismo banco o en un banco diferente, y así como pueden ser cómplices o ejecutores finales del delito informático al retirar de sus cuentas los fondos provenientes de la transferencia ilícita, se suscitan muchos casos de gente engañada y de personas que han “prestado la cuenta” a familiares o amigos de confianza con la finalidad de recibir dineros supuestamente provenientes de un negocio o de un préstamo lícitos.
No obstante, como dijimos, una IP puede ser variable debido al volumen de información que transporta a través de la red. El identificador más exacto de la localización de un terminal computacional a través de la red, es la dirección MAC (control de acceso al medio) que tiene 48 bits y corresponde de forma única, a una tarjeta o dispositivo de red. Estás direcciones MAC han sido diseñadas para ser identificadores globales únicos, pero no todos los
59
protocolos de comunicación usan direcciones MAC, y, no todos los protocolos requieren identificadores globalmente únicos. En informática y telecomunicaciones, un protocolo de comunicaciones5 es: “Un conjunto de reglas y normas que permiten que dos o más entidades de un sistema, se comuniquen entre ellas para transmitir información por medio de cualquier tipo magnitud física. Se trata de las reglas o el estándar que define sincronización de la comunicación, así como posibles
de variación de una la sintaxis, semántica y
métodos de recuperación de
errores”. Los protocolos pueden ser implementados por hardware, software, o una combinación de ambos.
El protocolo TCP/IP es aquel con el cual las empresas proveedoras de servicios de internet configuran el acceso a internet en la mayoría de computadoras que utilizan las personas en general y los clientes bancarios en particular; este protocolo exige que exista una dirección IP, para poder identificar de forma inequívoca cada ordenador conectado a Internet.
La dirección IP está conformada por cuatro números (cada uno entre 0 y 255, equivalentes cada uno a un byte) separados por puntos, por ejemplo, la dirección IP: 193.146.27.212; cada ordenador conectado a Internet se identifica mediante su IP. Estos números son difíciles de recordar, por ello las empresas proveedoras de Internet utilizan también en la configuración de acceso a Internet de sus usuarios un “Sistema de Nombres de Dominio”, DNS (Domain Name System) que permite asignar nombres a las direcciones IP.
Lo anteriormente indicado se refiere a la información que puede ser recolectada de los proveedores del servicio de Internet en caso de cometerse un delito informático. Los protocolos de Internet son una forma de lograr conocer algunas veces, no solamente la localización física del terminal computacional, sino que también permiten obtener datos que los tiene almacenados la empresa proveedora del Internet, respecto de la persona natural o jurídica que ha contratado ese servicio
de Internet, lo cual muchas veces no nos da la
pista concreta de quién es el ciberdelicuente, de su identidad, porque algunos delitos informáticos, especialmente los que tienen como resultado el fraude patrimonial, son perpetrados desde cibercafés (lugares públicos de alquiler de Internet) o, como pasa en la mayoría de los casos, son perpetrados desde un país extranjero.
5
Rodríguez-Aragón, Licesio, Tema 4, Internet y Teleinformática, Informática Básica, Universidad Rey Juan Carlos, p. 3: http://www.uclm.es/profesorado/licesio/Docencia/IB/IBTema4.pdf
60
En lo que se refiere a información de transacciones bancarias, la Fiscalía tiene la capacidad legal de solicitar información sujeta al sigilo y reserva bancario, conforme al actual artículo 354, numeral 1, del Código Orgánico Monetario y Financiero. Las empresas auxiliares de las instituciones del sistema financiero que les prestan servicios operativos y almacenamiento de los registros de transacciones de los clientes bancarios, son las llamadas a proporcionar esta información a los bancos, quienes a su vez, al ser requeridos por alguna fiscalía o judicatura, por mandato legal deben remitir esa información, para que sea elemento de convicción dentro de las causas que se estuviesen investigando o juzgando.
Estos registros de archivos informáticos se denominan LOGS o registros lógicos de información que se almacenan en los servidores informáticos, durante muchos años. La forma en que se extrae esta información es con programas que permiten cargar y copiar los archivos almacenados en los servidores, y de ésta manera el perito informático que haya sido designado por la Fiscalía, puede obtener esta información en medios físicos (memorias portátiles, cedes) o a su correo electrónico, para su análisis y procesamiento, en archivos exportables de imagen o Excel.
3.2. Conservación de la evidencia de medios electrónicos.
En cuanto a las evidencias de delitos cometidos en contra del soporte físico de los datos de información y canales electrónicos, esto es, ataques realizados en contra de cajeros automáticos de los bancos, la técnica de cadena de custodia recomienda aislar los soportes físicos en los cuales está contenida esta información (discos duros y memorias de los cajeros automáticos) a fin de testearlos posteriormente con programas informáticos que permiten determinar si existió intrusión informática por vía canal electrónico o por medios físicos externos (discos portátiles, memorias flash, teléfonos celulares, mouses), o si fueron anuladas las seguridades proporcionadas por los antivirus instalados, con el propósito de cambiar los códigos de funcionamientos de los cajeros automáticos y obtener información protegida
que permitió al ciberdelicuente hacerse con la misma, para poder posteriormente
venderla a terceros, o, utilizarla para extraer el dinero que reposa en las cartucheras de los cajeros automáticos.
Los medios electrónicos que utilizan los ciberdelincuentes para ejecutar delitos tales como el skimming, y que se encuentran insertos como intrusos en cajeros automáticos u otros canales electrónicos con terminales físicas, deben ser preservados de manera integral al ser separados de los aparatos en que se hallan incrustados, de tal manera que el perito 61
especialista en electrónica pueda realizar una evaluación de los componentes de este tipo de mecanismos y llegue a determinar si los mismos son idóneos para la ejecución del delito que se está investigando.
La investigación pericial debe ser siempre analítica y no solo académica. Los componentes de un mecanismo de clonación de datos de las bandas magnéticas de tarjetas de crédito o débito, pueden por supuesto, ser consultados académicamente en varias páginas de Internet, pero la tarea primordial del perito informático es la de evaluar la funcionalidad del aparato que ha sido aislado mediante la cadena
de custodia, y, verificar si su propósito u
objetivo de causar un daño puede ser ejecutado siguiendo una secuencia determinada de procesos lógicos.
62
CONCLUSIONES
1.- La delincuencia que utiliza para ejecutar sus fines los medios informáticos y electrónicos se clasifica de acuerdo al tipo de medio utilizado. La delincuencia informática utiliza o ataca el software, esto es, los programas informáticos trasmitidos a través de redes y servidores, mientras que el delito electrónico se caracteriza por los ataques al hardware o medio externo tecnológico como son los discos duros, discos portátiles, memorias, etc.
2.- El Décimo Congreso de las Naciones Unidas sobre Prevención del Delito y Tratamiento del Delincuente, llevado a cabo en Viena, del 10 al 17 de abril del 2014, estableció la existencia de dos subcategorías de delitos cibernéticos: el
delito cibernético en sentido
estricto (“delito informático”), que consiste en todo comportamiento ilícito que se valga de operaciones electrónicas para atentar contra la seguridad de los sistemas informáticos y los datos procesados por ellos; y, el delito cibernético en sentido lato (“delito relacionado con computadoras”), que se relaciona con todo comportamiento ilícito realizado por medio de un sistema o una red informáticos, o en relación con ellos; incluidos los delitos de posesión, el ofrecimiento o la distribución ilegales de información por medio de un sistema o de una red informática. 3.- Los delitos patrimoniales que se cometen por medios informáticos en la actual normativa del Código Orgánico Integral Penal, vigente desde el 10 de agosto del 2014, se clasifican en delitos que atentan contra el patrimonio, tales como la estafa electrónica y la apropiación ilícita, o la transferencia no consentida de activos patrimoniales, y, aquellos delitos que tienen como finalidad el ataque directo y el daño o alteración de los sistemas informáticos y electrónicos para lograr como finalidad, el apropiamiento de información confidencial, o la destrucción de los sistemas de software o hardware. 4.- El Código Orgánico Integral Penal, si bien es cierto ha endurecido las penas aplicables a los delitos en general, mantiene ciertas incongruencias como el caso
de la pena que se
aplica al delito de apropiación ilícita por medios informáticos o electrónicos que, revistiendo gravedad, solo se sanciona con pena privativa de la libertad de uno a tres años, sin tomar en cuenta que gran parte de los casos de transferencias no autorizadas de fondos desde cuentas de clientes del sistema financiero nacional, tienen su juzgamiento y sanción con este tipo penal. La estafa electrónica, siendo un delito patrimonial de igual o menor impacto en cuanto al resultado, está penada con pena privativa de la libertad de hasta siete años. 63
5.- La información que los clientes de las instituciones del sistema financiero guardan en los archivos informáticos de éstas, tienen el carácter de confidencial cuando se trata de sus datos personales, preferencias, lugares de vivienda, trabajo o teléfonos; mientras que, la información sobre las operaciones y movimientos bancarios de
los clientes, así como de
los créditos solicitados por los mismos, está bajo la protección del sigilo y reserva bancaria, constituyendo un delito la divulgación de esta información, sin perjuicio de las sanciones administrativas contempladas en el Código Orgánico Monetario y Financiero. 6.- La Teoría del Caso permite trazar estrategias adecuadas para llevar adelante la acusación o la defensa de una persona en juicio. Sus elementos esenciales son: el fáctico, el probatorio y el jurídico. La Teoría del Caso tiene que ser lógica, creíble, legalmente suficiente, y, concreta pero flexible. 7.- Los alegatos de apertura tienen que formular de una manera sucinta, cuáles son los hechos que van a probarse en el transcurso de la audiencia. Es la historia que va a demostrarse durante el desarrollo del juicio. 8.- Las proposiciones fácticas permiten el desarrollo del razonamiento lógico en cuanto establecen el nexo existente entre el hecho fáctico y el sujeto responsable de las acciones que se investigan. 9.- En el campo probatorio, la evidencia informática surte el mismo efecto que los elementos de convicción de tipo documental, pero la inmaterialidad de la misma suele hacerla dependiente de la reproducción a través de medios físicos para que pueda hacerse valer en calidad de prueba. 10.- La prueba pericial informática y/o electrónica es la prueba técnica más importante dentro de la investigación de los delitos informáticos o electrónicos, porque permite procesar e interpretar la información obtenida en ordenadores o sistemas de comunicación, en el caso de delitos informáticos; así como también interpreta o describe el funcionamiento de los mecanismos electrónicos, en el caso de los delitos que utilizan o atentan en contra del hardware o medios externos.
64
11.- Por lo general, el fraude informático constituye un delito “sin rostro”, en el cual se halla manifiesta la voluntad de engañar y de apropiarse de los bienes o valores del usuario informático afectado, pero sin que pueda identificarse a priori, quién intelectual de este tipo de fraudes. En el caso de los delitos
es el autor material o
de apropiación ilícita por
medios informáticos o electrónicos suele conocerse más bien a aquellas personas que son beneficiarias de los dineros transferidos fraudulentamente desde las cuentas de los clientes de las instituciones bancarias, pero estas personas algunas veces resultan haber sido engañadas por terceros, para prestar sus cuentas a este tipo de maniobras fraudulentas. 12.- La información con la que cuentan las empresas proveedoras del servicio de Internet, es de importancia fundamental para la investigación penal de los delitos informáticos, pues estas empresas almacenan los datos correspondientes al tráfico de redes de sus usuarios o suscriptores, y por lo tanto, a través de la información almacenada en sus sistemas, puede conocerse el lugar físico desde el cual se efectuó el ataque o intrusión informática y los datos relativos a la identidad de la persona natural o jurídica que es suscriptora de este servicio de Internet.
13.- Conocer el lugar físico, la terminal computacional desde la cual se efectuó el ataque o intrusión informática, es un punto de partida para determinar donde se plasmó la acción del ciberdelincuente, pero no garantiza poder identificar al autor intelectual o atacante informático, ya que por lo general, estas personas actúan desde una dirección IP ubicada en un país extranjero, o bien desde el Ecuador, en una terminal computacional de uso público (ciber café). 14.- Los hackers son personas expertas en manejo y rompimiento de claves y seguridades informáticas, y sus motivaciones no siempre corresponden a beneficiarse económicamente con los dineros de las personas que sufren este tipo de ataque o intrusismo informático. Algunas veces, la motivación de los hackers puede ser de tipo político o hasta ecológico, pero en todo hacker siempre se halla presente la motivación de romper con un desafío establecido por parte de un sistema de seguridad informático, especialmente de aquellos que presenten gran complejidad. 15.- El hackeo ético constituye una herramienta eficaz para la investigación del ciberdelito y para la futura prevención de fraudes informáticos, porque permite determinar detalladamente las debilidades que tuvo el sistema operativo que fue objeto del ataque informatico, así 65
como las huellas o señales que dejó el ataque o intrusismo en los códigos o registros de los programas que forman parte de la plataforma del sistema, desactivación de los antivirus y alertas de seguridad, etc. Para el sistema bancario, este tipo de hackeo ético es fundamental en el fortalecimiento de sus sistemas operativos a través de los cuales sus clientes realizan transacciones. 16.- De acuerdo a los medios que se utilizan para perpetrar el delito informático o electrónico, sea a través de programas informáticos o a través de la conexión de medios externos (discos duros, memorias externas, microchips, micro cámaras), la evidencia debe ser recolectada para garantizar la mayor fidelidad posible al momento de reproducirse, sea para realizar una pericia electrónica o informática por parte de especialistas en la materia, y, al momento de presentar esta evidencia en juicio, para que tenga pleno valor procesal. 17.- La colaboración de las instituciones del sistema financiero en la obtención de la información de operaciones bancarias, por parte de la Fiscalía, es un pilar fundamental en la investigación del ciberdelito. Esta información, si bien es de carácter confidencial o reservada para el público en general, de acuerdo a las disposiciones del Código Orgánico Monetario y Financiero, puede ser solicitada por fiscales o jueces dentro de una indagación previa o proceso penal, como elemento de convicción o soporte informático de lo que quiere probarse.
18.- Los elementos electrónicos que constituyen evidencias de delitos tales como la clonación de tarjetas electrónicas de débito o crédito de los usuarios bancarios, los mecanismo del delito denominado SKIMMING, o bien los discos duros o memorias de los cajeros automáticos afectados por el intrusismo de medios externos (memorias flash, celulares, mouses, teclados) deben ser convenientemente aislados y clasificados, a fin de que pueda realizarse un estudio técnico de su funcionamiento.
66
RECOMENDACIONES
1.- Ecuador, a través del Poder Ejecutivo, de la Fiscalía General del Estado, y, de sus legaciones diplomáticas en organizaciones internacionales, debería propiciar activamente, una política internacional de alianzas y acuerdos con otros países para el combate de la ciberdelincuencia originada fuera de sus fronteras, tal como ocurre por ejemplo, con los países de la Unión Europea. La ausencia de este tipo de tratados hace vulnerable a nuestro país, cuando el ataque informático es perpetrado desde ciudades de otros países; la sola cooperación entre fiscalías de los países involucrados en el tema, no representa suficiente apoyo para el combate al ciberdelito.
2.- Las instituciones del sistema financiero nacional deben invertir los recursos que sean necesarios
para
modernizar
sus
plataformas
informáticas
de
operaciones
y
almacenamientos de datos, volviendo así más seguros los sistemas y canales de comunicación por los cuales se trasmiten las transacciones bancarias. Esta inversión de los bancos en tecnología, si bien es costosa, redunda en un beneficio de dar seguridad a los clientes, incrementando su confianza para invertir o depositar sus recursos en el sistema financiero nacional. 3.- Debe realizarse una activa campaña de educación social sobre el manejo de productos bancarios que involucren el manejo de redes o canales informáticos de procurar una interactuación preventiva banco-cliente,
o electrónicos, a fin
frente a la ciberdelincuencia. No
olvidemos que el delincuente informático busca deliberadamente atacar la parte más vulnerable de la operación o transacción bancaria, en este caso referida a la información personal que el cliente bancario tiene sobre su usuario y claves de acceso, tanto al portal bancario en Internet, como a la utilización de sus tarjeta de débito o crédito en cajeros automáticos. 4.- Deben crearse protocolos rigurosos de seguridad interna para todos los empleados bancarios que manejan información de clientes a través de medios informáticos o de canales electrónicos. Estos manuales o protocolos permiten controlar las actividades internas de los funcionarios bancarios y determinar la responsabilidad que puede tener cada uno de ellos en la ejecución de procesos, disminuyendo riesgos. Se han presentado casos de vulnerabilidad en los llamados Call Centers o centros de información de consulta y transacciones de clientes, ya que muchas veces no se han tomado las medidas de 67
seguridad suficientes para evitar la fuga de información bancaria a través de una falsa llamada telefónica. 5.- Las terminales computacionales de los empleados bancarios deben tener un control que permita su funcionalidad exclusiva para las tareas que son asignadas y no permitir que puedan ser utilizadas en actividades diferentes a su finalidad, menos aún para la recreación del empleado bancario. El Internet es una potencial fuente de intrusismo informático y junto con el correo electrónico, es el medio por el cual los ciberdelincuentes pueden perpetrar ataques a las redes informáticas bancarias. Este control incluye un sistema de apagado automático de las computadoras que estén funcionando fuera del horario de trabajo, por descuido u olvido de apagarlas del funcionario a cargo de la terminal computacional. 6.- La Fiscalía debe propiciar una investigación altamente científica de los delitos cometidos a través de medios informáticos o electrónicos. Esto significa que no debe solamente privilegiarse la indagación penal por el hecho de existir un resultado patrimonial dañoso para un sujeto, sino que deben estudiarse pormenorizadamente los indicios del intrusismo informático y electrónico para poder determinar en qué campos se enfoca el ciberdelito. No pueden por tanto desestimarse las indagaciones previas que se inician por tentativa de delitos informáticos o electrónicos, por el solo hecho de que no produjeron un resultado económico para la víctima del delito, al haber sido frustrados, porque el solo hecho de que el delincuente informático logre introducirse a la redes de Internet o a los canales de comunicación electrónica de los cajeros automáticos, genera grave alarma social general, porque evidencia vulnerabilidad de estos sistemas. Por ende, las situaciones de amenaza o peligro deben ser seriamente investigadas y no únicamente las de resultado de daño patrimonial, ni aún con el pretexto de invocar el artículo 22 del Código Orgánico Integral Penal (conductas penalmente relevantes). 7.- Los peritos informáticos o electrónicos que se acreditan ante el Consejo de la Judicatura, deben capacitarse o ser capacitados en la utilización de un adecuado lenguaje jurídico procesal, cuando expresan conclusiones u observaciones en sus informes técnicos que van dirigidas al conocimientos de los abogados de las partes, de las fiscalías y de los jueces, ya que la costumbre usual es que el informe técnico de los peritos analice los eventos, procesos y/o mecanismos de la comisión de un delito informático, en un lenguaje que solo ellos podrían conocer e interpretar, pero que no se traduce al final del trabajo pericial en conclusiones enlazadas con los hechos fácticos que se han investigado por parte de la 68
Fiscalía, produciendo esta situación dificultad en la interpretación y procesamiento de la información del
informe pericial que deben hacer los jueces y fiscales dentro de la
indagación previa o del proceso penal. 8.- No basta con la prescripción del artículo 500 del Código Orgánico Integral Penal respecto al manejo de la información digital. Debe crearse legalmente un procedimiento completo y adecuado para la debida extracción y conservación de la evidencia informática y electrónica en la cadena de custodia, procedimiento que debe obedecer a la misma rigurosidad con la cual se recolecta, se inventaría y se almacena la evidencia física en otro tipo de delitos. Este manual de procedimientos para el procesamiento de la evidencia informática y electrónica debe incluir la manera en que el usuario informático afectado por un ciberdelito deba proceder para evitar que se pierdan o se destruyan los indicios o elementos de convicción que se encuentran en su poder (por ejemplo, tarjetas electrónicamente clonadas) o en un soporte virtual que le pertenezca (correo electrónico, casos de pishing). 9.- El combate contra la ciberdelicuencia debe constituirse en una política de estado que involucre la participación de entidades públicas, privadas, y de la ciudadanía en general, a fin de reducir la incidencia de los ataques y aumentar las medidas de seguridad frente al “ciberdelincuente oculto”. La visión de esta política estatal debe estar encaminada, no a coartar la libertad de expresión en las redes sociales de Internet, sino a garantizar la seguridad de los ciudadanos en el libre tráfico informático, tanto en lo referente a sus datos personales e información confidencial, como en la seguridad de sus trámites, operaciones y transacciones públicos o privados, incluidos los bancarios. No puede esperarse únicamente que sean los bancos quienes respondan económicamente cada vez que los usuarios del sistema bancario son afectados por delitos informáticos o electrónicos, muchas
veces
facilitados por su propio accionar imprudente, como por ejemplo, cuando proporcionan información personal y confidencial de su usuario y claves de acceso a su cuenta virtual en Internet, o datos de su tarjeta de crédito o débito. 10.- Deben establecerse normas más claras y precisas relativas al manejo o consumo de bienes y servicios informáticos o electrónicos por parte del usuario o consumidor, especialmente en lo referente a las transacciones que se realizan por vía internet o a través de canales electrónicos; para ello se precisa una reforma a la Ley Orgánica de Defensa del Consumidor y a la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos. Si se establecen responsabilidades claras por el manejo negligente o mal manejo de este 69
tipo de productos informáticos o electrónicos, el usuario o consumidor tratará de obrar con mayor cuidado y se disminuirá el riesgo y el impacto de los delitos informáticos o electrónicos que tienen como finalidad la apropiación del patrimonio o dineros de las personas. 11.- Debe proponerse una urgente reforma del artículo 190 del Código Orgánico Integral Penal en lo referente a la pena aplicable a los delitos de apropiación ilícita por medios informáticos o electrónicos, pues, por la gravedad que estos revisten deberían sancionarse con una pena similar a la existente para la estafa cometida a través de medios informáticos o electrónicos (artículo 186, numerales 1 y 2 del Código Orgánico Penal Integral) o por lo menos con la misma sanción que existía para la apropiación ilícita en los artículos 553.1 y 553.2 del Código Penal que estuvo vigente hasta el 9 de agosto del 2014, esto es, con penas de hasta 5 años de privación de libertad. La pena actual de 1 a 3 años de privación de la libertad, alienta a los ciberdelincuentes a obrar con mayor agresividad, por cuanto la sanción que recibirían en caso de ser descubiertos es mínima en relación al daño que causan.
70
BIBLIOGRAFÍA
1.- Aboso, Gustavo Eduardo, La Nueva Regulación de los llamados Delitos Informáticos en el Código Penal Argentino: Un estudio comparado, Santa Fe, Argentina, Editorial RubinzalCulzoni, 2010.
2.- Aguirre Torres, Marco Boris, El Fiscal y su rol en el sistema Acusatorio Oral, Loja, Ecuador, Editorial Indugraf, 2012. 3.- Azaola Calderón, Luis, Delitos Informáticos y Derecho Penal, Editorial Ubijús, México, 2010.
4.- Azaustre Fernández, María José, El Secreto Bancario, Bosch Editor, Barcelona, España, 2001.
5.- Azuero Rodríguez, Sergio, Contratos Bancarios, quinta edición, Editorial Legis, 2005.
6.- Baigún, David, director, Delincuencia Económica y Corrupción: su prevención penal en la Unión Europea y el Mercosur, Buenos Aires, Editorial Ediar, 2006.
7.- Binder, Alberto, Derecho Procesal Penal, Buenos Aires, Editorial Ad-Hoc, 2013.
8.- Bricola, Franco, Teoría General del Delito, Editorial B de F, Buenos Aires, 2012.
9.- Cairoli Martínez, Milton Hugo, Cervini Raúl, Aller German, Nuevos Desafíos en el Derecho Penal Económico, Tomo I, editorial B de F, Buenos Aires, 2012.
10.- Camacho Herold, Daniela, y Flor Rubianes, Jaime, Las presunciones como fundamento para dictar una sentencia de condena, Quito, Corporación de Estudios y Publicaciones, 2009.
11.- Carrera Daniel, Pablo, director, Derecho Penal de los Negocios, Buenos Aires, Editorial Astrea, 2004.
12.- Chamorro López, Beyker, Teoría del Caso, Práctica de Derecho Procesal Penal, UPLA, Lima, 2012.
71
13.- Corporación de Estudios y Publicaciones, Legislación Penal (Código Penal y Código de Procedimiento Penal) actualizados al mes de noviembre del 2013.
14.- Corporación de Estudios y Publicaciones, Código Orgánico Integral Penal, actualizado al mes de agosto del 2014.
15.- Corporación de Estudios y Publicaciones, Código Orgánico Monetario y Financiero, septiembre del 2014.
16.- Cuestaguado Paz, Mercedes de la, Sociedad Tecnológica y Globalización del Derecho Penal, Mendoza, Argentina, Ediciones Jurídicas Cuyo, 2003.
17.- Donoso Castellón Arturo, Delitos contra el Patrimonio y contra los recursos de la Administración Pública, Quito, Editora Jurídica Cevallos, 2008.
18.- Espitia Garzón, Fabio, Instituciones de Derecho Procesal Penal, octava edición, Editorial Legis, Bogotá, 2011.
19.- Flores Prada, Ignacio, Criminalidad Informática, Aspectos Sustantivos y Procesales, editorial Tirant Lo Blanch, Valencia, España, 2012.
20.- García Falconí, José, La Etapa del Juicio: La Audiencia de debate, la prueba y la sentencia en el Nuevo Código de Procedimiento Penal, Quito, Ediciones Rodín, 2002.
21.- García Falconí, Ramiro, Código Orgánico Integral Penal comentado, Tomo I, Ada Editores, Lima Perú, 2014.
22.- Jiménez Martínez, Javier, El Aspecto Jurídico de la Teoría del Caso, Editorial Ángel, primera edición, México, 2012.
23.- Marchena Gómez, Manuel, Prevención de la Delincuencia Tecnológica, Navarra, España, Editorial Arazandi, 2001. 24.- Mata y Martín, Ricardo, Delincuencia Informática y Derecho Penal, Edisofer, Madrid, 2001.
72
25.- Meek Neira, Michael, Delito Informático y Cadena de Custodia, Universidad Sergio Arboleda, Escuela de Derecho, Departamento de Derecho Penal, primera edición, Bogotá, 2013.
26.- Muñoz Conde, Francisco, Derecho Penal Parte Especial, Valencia, España, décimo séptima edición, Editorial Tirant Lo Blanch, 2009.
27.- Osorio y Nieto, César Augusto, Teoría del Caso y Cadena de Custodia, Editorial Porrúa, México, 2011.
28.- Páez Rivadeneira, Juan José, Derecho y Nuevas Tecnologías, Quito, Corporación de Estudios y Publicaciones, 2010.
29.- Palazzi, Pablo, Delitos Informáticos, Editorial Ad-Hoc, 2000.
30.- Reyna Alfaro, Luis Miguel, La Problemática de la Victima en el Derecho Penal, Reflexiones a Propósito de la Criminalidad Informática, Mendoza, Argentina, Ediciones Jurídicas Cuyo, 2003.
31.- Riofrío Martínez-Villalba, Juan Carlos, La Prueba Electrónica, Editorial Temis, Bogotá, Colombia, 2004.
32.- Riquert, Marcelo Alfredo, Derecho Penal Económico y Delincuencia Informática, Córdova, Argentina, Editorial Mediterránea, 2006.
33.- Rodríguez-Aragón, Licesio,
Tema 4, Internet y Teleinformática, Informática Básica,
Universidad Rey Juan Carlos, página 3, documento en Internet que consta en la dirección web http://www.uclm.es/profesorado/licesio/Docencia/IB/IBTema4.pdf.
34.- Rodríguez Mourullo, Gonzalo, Derecho Penal e Internet, Madrid, Editorial La Ley, 2002.
35.- Rovira del Canto, Enrique, Delincuencia Informática y Fraudes Informáticos, Granada, España, Editorial Comares, 2002.
36.- Roxín, Claus, Autoría y Dominio del Hecho en Derecho Penal, Madrid, Editorial Marcial Pons, 2000. 73
37.- Salamea Carpio, Diego, El Delito Informático y la Prueba Pericial Informática, Editorial Jurídica del Ecuador, Quito, 2013.
38.- Salinas Siccha, Ramiro, Delitos contra el Patrimonio, Lima, editorial Grijley, 2010.
39.- Schiavo, Nicolás, Valoración Racional de la Prueba en Materia Penal, Editores del Puerto, Buenos Aires, 2013.
40.- Sigüenza Bravo, Marco y Sigüenza Rojas, Juan Diego, Principios Rectores del Derecho Penal, Casa de la Cultura Ecuatoriana “Benjamín Carrión” Núcleo del Cañar, Ecuador, 2012.
41.- Stratenwerth, Günter, Derecho Penal, Parte General, El Hecho Punible, Madrid, Editorial Thomson Civitas, 2005.
42.- Thomson Reuters Arazandi, Delincuencia Informática, Tiempos de Cautela y Amparo, Monografía de Doctrina, primera edición, Pamplona, España, 2012.
43.- Tomeo Fernando, Redes Sociales y Tecnologías 2.0, segunda edición, editorial Astrea, Buenos Aires, 2014.
44.- Valdivieso Arias, Luis Felipe, Seminario: Litigación Oral en Materia Penal, Universidad Técnica Particular de Loja, primera edición, 2012.
45.- Welzel, Hans, Derecho Penal Alemán, Santiago de Chile, Editorial Jurídica de Chile, 2011.
46.- Zabala Baquerizo, Jorge, El Debido Proceso Penal, Quito, Editorial Edino, 2002.
47.- Zambrano Pasquel, Alfonso, Estudio Introductorio al Código Orgánico Integral Penal, tomos I, II y III, Corporación de Estudios y Publicaciones, Quito, 2013.
48.- Zárate Barreiros, Milton Gustavo, Manual de Investigación Criminalística Básica, Universidad Técnica Particular de Loja, primera edición, Loja, 2013.
74