Lecciones de derecho penal : parte especial / Hernando Barreto Ardila [y otros] – Bogotá : Universidad Externado de Colombia. Departamento de Derecho Penal y Criminología. 2019. Tercera edición.
volúmen 2 ; 773 páginas ; 24 cm.
Incluye referencias bibliográficas.
ISBN: 9789587901276
1. Derecho penal – Colombia 2. Delitos -- Aspectos jurídicos – Colombia 3. Lavado de activos -- Aspectos jurídicos – Colombia 4. Medio ambiente -- Aspectos jurídicos – Colombia I. Universidad Externado de Colombia. Departamento de Derecho Penal y Criminología II. Título
343 SCDD 15
Catalogación en la fuente -- Universidad Externado de Colombia. Biblioteca. EAP.
Abril de 2019
ISBN 978-958-790-127-6
© 2019, 2011, 2003, UNIVERSIDAD EXTERNADO DE COLOMBIA
Calle 12 n.º 1-17 este, Bogotá
Teléfono (57 1) 342 0288
publicaciones@uexternado.edu.co
www.uexternado.edu.co
Primera edición: febrero de 2003; reimpr.: junio de 2003
Segunda edición: marzo de 2011
Segunda reimpresión: agosto de 2015
Tercera reimpresión: diciembre de 2016
Tercera edición: abril de 2019
Diseño de carátula: Departamento de Publicaciones
Corrección de estilo: Néstor Clavijo
Composición: Marco Robayo
Impresión y encuadernación: Xpress Estudio Gráfico y Digital S.A.S. - Xpress Kimpres
Tiraje: de 1 a 1.000 ejemplares.
Prohibida la reproducción o cita impresa o electrónica total o parcial de esta obra, sin autorización expresa y por escrito del Departamento de Publicaciones de la Universidad Externado de Colombia. Las opiniones expresadas en esta obra son responsabilidad de los autores.
Diseño epub:
Hipertexto – Netizen Digital Solutions
|
PAULA ANDREA RAMÍREZ BARBOSA HERNANDO BARRETO ARDILA DARÍO BAZZANI MONTOYA JORGE CALDAS VERA JOSÉ MANUEL DÍAZ SOTO HERNANDO A. HERNÁNDEZ QUINTERO ANTONIO JOSÉ CANCINO MIGUEL CÓRDOBA ANGULO CARMEN ELOÍSA RUIZ ÁNGELA MARÍA BUITRAGO RUIZ DIEGO CORREDOR BELTRÁN MANUEL CORREDOR PARDO LEONARDO CRUZ BOLÍVAR LUISA FERNANDA CALDAS BOTERO GUILLERMO FERRO TORRES |
ALBERTO SUÁREZ SÁNCHEZ VICENTE EMILIO GAVIRIA LONDOÑO EMILSSEN GONZÁLEZ DE CANCINO AUGUSTO J. IBÁÑEZ GUZMÁN JUAN PABLO HINESTROSA WILLIAM MONROY VICTORIA ALEJANDRO RAMELLI ARTEAGA CAMILO SAMPEDRO ARRUBLA JASON ALEXÁNDER ANDRADE CASTRO ELENA SUÁREZ DÍAZ ADRIANA MERCADO CRUZ WILLIAM TORRES TÓPAGA CARLOS ARTURO GÓMEZ PAVAJEAU JOAQUÍN URBANO MARTÍNEZ CAMILO IVÁN MACHADO RODRÍGUEZ |
VOLUMEN II
Presentación
Delitos informáticos
Alberto Suárez Sánchez
Delitos contra los derechos de autor
Vicente Emilio Gaviria Londoño
Los delitos de manipulación genética
Emilssen González de Cancino
Delitos contra las “personas y bienes protegidos por el derecho internacional humanitario” (a propósito de la configuración de los delitos “contra la humanidad”)
Augusto J. Ibáñez Guzmán
Juan Pablo Hinestrosa
Delitos contra el orden económico y social
Ángela María Buitrago Ruiz
William Monroy Victoria
Personas y bienes protegidos por el derecho internacional humanitario
Alejandro Ramelli Arteaga
Delitos aduaneros
Camilo Sampedro Arrubla
Delitos contra la libertad individual y otras garantías
Camilo Sampedro Arrubla
Delitos contra el patrimonio económico
Alberto Suárez Sánchez
Título XI-A. De los delitos contra los animales
Jason Alexánder Andrade Castro
Delitos contra los mecanismos de participación democrática
Elena Suárez Díaz
Adriana Mercado Cruz
Delitos contra la libertad, integridad y formación sexuales
William Torres Tópaga
Falsedad monetaria
Hernando A. Hernández Quintero
Delitos contra la vida y la integridad personal
Carlos Arturo Gómez Pavajeau
Joaquín Urbano Martínez
Delitos contra los recursos del Sistema General de Seguridad Social en Salud (SGSSS)
Camilo Iván Machado Rodríguez
Los autores
Notas al pie
Un numeroso grupo de profesores del Departamento de Derecho Penal y Criminología de la Universidad Externado de Colombia ha decidido aunar esfuerzos para publicar estas Lecciones de derecho penal, orientadas particularmente a facilitar el estudio de la materia a quienes se inician en estos temas, pero con suficiente profundidad y rigor para que sirva de ayuda a funcionarios judiciales, abogados litigantes y estudiosos en general de esta área de conocimiento jurídico.
Las Lecciones de derecho penal. Parte especial recopilan aportes de varios autores que han abordado los temas correspondientes con autonomía conceptual; por tal razón, a pesar de que se maneja un esquema metodológico uniforme, debe saber el lector que son posibles los antagonismos de criterio entre los diferentes juristas que contribuyeron a la elaboración de este volumen. En tales eventos el Departamento de Derecho Penal ha preferido respetar las distintas opiniones bajo el supuesto de que las que se exponen en este texto cuentan con un amplio soporte doctrinal y propician el debate necesario para la adecuada formación jurídica.
Por otra parte, quiso el grupo de autores acometer el análisis de cada uno de los tipos penales que actualmente integran la parte especial del Código Penal colombiano y prefirió centrar la atención sobre los aspectos polémicos de cada uno de ellos en lugar de la tradicional revisión de los elementos que componen descripciones penales. Esta visión integral de la materia, desde una perspectiva problemática, junto a la reconocida trayectoria profesional y académica de cada uno de sus autores, hace de esta una obra excepcional en el medio colombiano.
Cuando se publicó la primera edición del libro, en la rectoría del doctor Fernando Hinestrosa, había sido una preocupación suya que la Universidad pudiera ofrecer a los estudiantes las herramientas que les permitieran abordar los programas académicos con mayor facilidad, solvencia y actualización, lo cual motivó que el Departamento y sus profesores dieran comienzo a esta importante labor académica. En la actualidad, siendo rector el doctor Juan Carlos Henao, se mantiene intacta esa finalidad, motivo adicional que impulsó a los profesores a realizar un trabajo de actualización del libro en razón de las múltiples variaciones legislativas de los últimos años. La edición de estas Lecciones de derecho penal se hizo posible gracias al apoyo incondicional de ellos y al empeño de cada uno de los profesores vinculados a este proyecto.
JAIME BERNAL CUÉLLAR
Director del Departamento de Derecho Penal
ALBERTO SUÁREZ SÁNCHEZ
Códigos penales colombianos anteriores y el de 2000 en diversos tipos protectores de plurales bienes jurídicos describen conductas en las que se tiene la información como medio para la realización de otros delitos o como objeto material de los respectivos hechos punibles, pero no existía un nuevo bien jurídico protector de la información y los datos. Tal vacío fue llenado mediante la expedición de la Ley 1273 de 5 de enero de 2009, en la que el legislador optó por la técnica de adicionarle al Código Penal de 2000 un título que regula conductas lesivas de los sistemas informáticos, por considerar que todas ellas atentan contra un interés de naturaleza informática. Es así como esta ley crea un nuevo bien jurídico denominado “de la información y los datos”, razón por la cual ya no solo se tendrán estos como medios para la realización de otros hechos punibles o como objeto material de delitos, sino que, además, se les asigna un bien jurídico independiente.
Con la nueva normatividad la información y los datos se constituyen como bien jurídico autónomo, cuya vulneración no solo da lugar a tipificar delitos descritos en el nuevo título VII bis del Código Penal de 2000, sino que, además, puede ser el medio para la realización de otros hechos punibles atentatorios contra diversos intereses jurídicos.
Se dice que estamos en la “era de la información”, porque la existencia de la internet ha permitido que los computadores faciliten el almacenamiento masivo de una enorme, casi infinita, cantidad de datos, disponibles al instante, lo cual ha estimulado el auge de la ciencia de la informática, que tiene como objeto saber elaborar, conservar, ordenar, comunicar y obtener datos, ante la imposibilidad del hombre de memorizarlos. Por tal razón, el éxito del hombre está en la información y en saber buscarla, pues se dice que quien tiene la información tiene el poder.
A continuación se analizan de manera tangencial las nociones de dato, información y comunicación.
El dato, del latín datum (‘lo que se da’), es una representación simbólica (numérica, alfabética, alfanumérica, algorítmica, entre otras) de la esencia y lo característico de algo que, a su turno, constituye la mínima unidad en el proceso de información1.
Un dato puede ser representado por un número, una letra, un signo ortográfico, un dibujo, un gesto o cualquier símbolo que represente una cantidad, una medida, una palabra, una descripción, una negación o una afirmación, un señalamiento, un hecho, un valor, una situación, etc., que se percibe con los sentidos2.
El artículo 1 del Convenio de Ciberdelincuencia del Consejo de Europa, de 23 de noviembre de 2001, en el literal b, define el dato informático como “cualquier representación de hechos, información o conceptos de una forma que permita el tratamiento informático, incluido un programa diseñado para que un sistema informático ejecute una función”.
En sentido general la información es un conjunto de datos acerca de algún suceso, hecho, fenómeno o situación, que organizados y procesados en forma ordenada en un contexto determinado tienen su significado, y una vez percibidos por los sentidos constituye un mensaje que hace cambiar el conocimiento del sujeto o sistema que lo recibe, acerca de algo. En otras palabras: la información es un conjunto organizado de datos que constituye un mensaje sobre determinado ente o fenómeno3.
Está constituida por el conjunto de técnicas que permiten la difusión de información escrita, auditiva, visual o audiovisual a una o varias personas, o a una audiencia vasta y heterogénea con el fin de: 1) transmitir novedades, 2) aumentar los conocimientos, las representaciones, las actitudes, los comportamientos y 3) incentivar reacciones, etc.4.
La comunicación exige la concurrencia de por lo menos dos personas: el emisor y el destinatario o receptor.
La Ley 1273 de 2009 brinda adecuada protección a los sistemas de la información y los datos, y además otorga tutela a la preservación integral de “los sistemas que utilicen las tecnologías de la información y las comunicaciones”; de modo que la protección penal se da no de manera aislada a la información y los datos, sino de forma conjunta con aquellos sistemas. Mediante este bien jurídico se responde desde el ámbito penal a la puesta en peligro de nuevas logísticas necesitadas y merecedoras de protección, como los datos y la información, y al interés colectivo en la seguridad y fiabilidad en su almacenamiento, tratamiento, procesamiento y transferencia en los sistemas y redes informáticos y telemáticos5.
Por tanto, hay que distinguir entre datos e información en los que las modernas tecnologías digitales de elaboración, procesamiento, conservación y transferencia hayan sido utilizadas mediante la manipulación del sistema informático, de aquellos en los que este ningún papel desempeña, el que comprende: 1) objetos materiales, como los computadores y las terminales, sus accesorios, el hardware y el software, los canales físicos de comunicación y el acceso de las redes, y 2) actividades, técnicas y protocolos que permiten la tecnología digital.
El bien jurídico que se protege es el de la relación de confianza que la sociedad debe tener en los sistemas informáticos, las redes de sistemas electrónicos y telemáticos y otros medios semejantes, es decir, en las tecnologías de la información y las comunicaciones. Se trata, por consiguiente, de un delito que va más allá del interés individual en dicha seguridad, porque esta le corresponde a la sociedad, la que, además, tiene derecho a la integridad de los datos, la libertad de su procesamiento y comunicación, lo mismo que a la disponibilidad de la información. Por consiguiente, el bien jurídico es colectivo o supraindividual, cuyo titular lo es la sociedad o colectividad.
La conducta típica de los delitos descritos en la Ley 1273 de 2009 no solo puede causar daño al bien jurídico de la información y los datos, sino también a otros, como la intimidad, la libertad de información y comunicación, la integridad de los documentos, el patrimonio económico, la honra y el honor, por ejemplo. Por ello, ha de afirmarse que se trata de un delito pluriofensivo o compuesto que se caracteriza porque la conducta típica afecta a más de un bien jurídico, pues además de lesionar o poner en peligro el de la protección de la información y los datos afecta otros, como los citados.
Los delitos tipificados en el capítulo primero del título VII bis del Código Penal regulan “Los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos”, los cuales tutelan no solo la información y los datos, sino también otros bienes jurídicos, como ya se afirmó. Por ello, el capítulo segundo del mismo título se refiere a “los atentados informáticos y otras infracciones” y tipifica los delitos de hurto por medios informáticos y semejantes (art. 269I CP) y transferencia no consentida de activos (art. 269J CP), los que además de tutelar la información y los datos, también protegen el patrimonio económico, dado que así lo dice de manera expresa el artículo 269I al remitir a la conducta descrita en el artículo 239 del Código Penal, que describe el tipo básico del delito de hurto, entre cuyos elementos se encuentra el bien jurídico patrimonial; además, el delito de transferencia no consentida de activos tiene como objeto material derechos de crédito constitutivos del patrimonio económico.
A estos delitos no se les puede asignar una naturaleza análoga a la de los atentatorios contra bienes jurídicos individuales, porque además del patrimonio, la libertad individual, la intimidad, etc., se protege otro bien de naturaleza colectiva o supraindividual. La ejecución de tales hechos punibles no solo produciría efectos sobre el individuo, sino también sobre la sociedad, como titular de la información y los datos. Esta interpretación dual (individual y colectiva) del bien jurídico conduce a admitir que la comisión de un delito de hurto por medios informáticos y semejantes o de transferencia no consentida de activos, por ejemplo, produce, además de la pérdida patrimonial para un individuo, la lesión de la seguridad y la confianza que los ciudadanos deben tener en los sistemas informáticos, las redes de sistemas electrónicos y telemáticos y otros medios semejantes.
Conforme a esta construcción del delito, para la consumación del desvalor total del injusto típico de la mayoría de los delitos informáticos tipificados mediante la Ley 1273 de 2009 no basta la sola lesión o la puesta en peligro del bien jurídico individual, sino que se exige también que el resultado cause al menos peligro para un bien jurídico de carácter colectivo, que en este caso lo es el señalado por la seguridad en los medios informáticos.
Se trata, entonces, de los denominados bienes jurídicos intermedios, respecto de los cuales Tiedemann señalaba como ejemplo el tutelado en el delito de estafa informática, cuya configuración dogmática es muy parecida a la de transferencia no consentida de activos, que estaría constituido también por el correcto procesamiento de los datos electrónicos, que es tenido como un instrumento imprescindible de la vida económica moderna y el patrimonio económico6.
De acuerdo con tal modelo, ha de afirmarse que los delitos ampliamente citados tienen el compromiso de proteger el correcto funcionamiento de los sistemas informáticos con trascendencia en el ámbito de intereses individuales, porque al dársele expresa tutela al bien jurídico de la información y los datos, basta que cada uno de los comportamientos típicos individuales constituya la superación de las medidas de seguridad informática para que se los tenga como una verdadera puesta en peligro abstracto de aquel bien jurídico supraindividual7.
Sujeto activo es quien realiza el comportamiento que lesiona o pone en peligro el interés tutelado en lo jurídico-penal, el que puede ser determinado (cualificado) o indeterminado (no cualificado). El primero es quien tiene la especial condición o cualificación reclamada por el tipo penal de manera expresa, como servidor público, productor, distribuidor, deudor, tutor, etc., que caracteriza a los delitos especiales. Sujeto activo indeterminado (no cualificado) es quien no requiere ninguna calidad especial para ser sujeto agente del hecho punible, que se describe en los tipos de los delitos comunes.
La totalidad de los delitos tipificados en la Ley 1273 de 2009 se diseñan sin más exigencia respecto al sujeto activo que la de que sea persona humana, pues solo las personas físicas pueden delinquir, dado que son ellas quienes tienen capacidad de acción culpable.
La calidad del sujeto activo incide en la agravación de la punibilidad. En efecto, en el numeral 2 del artículo 269H se señala como circunstancia de agravación la calidad de servidor público del autor de cualesquier de los delitos descritos en el título VII bis del Código Penal; el numeral 2 ibidem agrava la pena si el autor es depositario de confianza del poseedor de la información o tiene un vínculo contractual con este; y, el numeral 8 de la misma norma describe como agravante que el sujeto agente sea el responsable de la administración, manejo o control de la información.
Se ha afirmado que el bien jurídico que se protege es el de la relación de confianza que la sociedad debe tener en los sistemas informáticos, las redes de sistemas electrónicos y telemáticos y otros medios semejantes, es decir, en las tecnologías de la información y las comunicaciones. Por tanto, el sujeto pasivo en los delitos contra la información y los datos lo es la sociedad, como titular de dichos derechos.
Dado que mediante la tipificación de la mayoría de los delitos descritos en el título VII bis del Código Penal se tutela un bien jurídico intermedio, se amplía el concepto de sujeto pasivo en los delitos analizados, porque estos lesionan o ponen en peligro el bien jurídico supraindividual constituido, se repite, por la confianza en los datos y la información, cuyo titular es la sociedad, y, además, atentan contra intereses jurídicos individuales, cuyos titulares son sujetos pasivos de dichos delitos.
Si la conducta tipifica delitos como los de uso de software malicioso y suplantación de sitios de web para capturar datos, por ejemplo, el sujeto pasivo es uno solo: la sociedad o colectividad, por su condición de titular del bien jurídico supraindividual del correcto funcionamiento de los sistemas de la información y los datos; pero, cuando aquella tipifica, verbigracia, los delitos de acceso abusivo a un sistema informático, daño informático, hurto por medios informáticos y semejantes o transferencia no consentida de activos, son sujetos pasivos tanto la sociedad como titular del bien jurídico colectivo como la persona (natural o jurídica), por su condición de titular del interés jurídico individual, como la intimidad o el patrimonio económico, por ejemplo.
Existen eventos en los que los conceptos de sujeto pasivo y víctima coinciden, pero también hay situaciones en las que además del sujeto pasivo puede resultar damnificada otra persona, quien tendrá derecho a la indemnización de los perjuicios causados por el delito.
Objeto material del delito es aquello sobre lo cual recae la acción que concreta la lesión o puesta en peligro del interés tutelado en lo jurídico-penal. Puede ser personal, real o fenomenológico. En el ámbito de los delitos contra la información y los datos tipificados en el capítulo primero del título VII bis y en el de transferencia no consentida de activos el objeto material es fenomenológico porque se define con conceptos como sistema informático, dato informático, emisiones electromagnéticas, software, programa de computación, datos personales, códigos personales, páginas electrónicas, enlaces o ventanas emergentes, sistemas de resolución de nombres de dominio y “cualquier activo”, mientras que en el delito de hurto por medios informáticos y semejantes el objeto material es real porque lo constituye el mismo del delito de hurto, es decir, la cosa mueble8.
El Código Penal de 2000 por primera vez tipifica de manera expresa conductas relacionadas con la protección del sistema informático y sus elementos materiales, como los soportes lógicos, en el título III, que protege el bien jurídico de la libertad individual y otras garantías. En efecto, el artículo 195, “De la violación a la intimidad, reserva e interceptación de comunicaciones”, señala: “Acceso abusivo a un sistema informático. El que abusivamente se introduzca a un sistema informático protegido con medida de seguridad o se mantenga contra la voluntad de quien tiene derecho a excluirlo, incurrirá en multa”.
A su turno, en el artículo 199 del capítulo de los delitos contra la libertad de trabajo y asociación, del mismo título III, se brinda tutela a las “bases de datos” y los “soportes lógicos”, como un adelanto a la tutela que a estos brindará luego la Ley 1273 de 2009.
Sin embargo, ha de subrayarse que en este estatuto penal no se crea el bien jurídico de la información y los datos recibidos, elaborados, procesados, conservados y transmitidos mediante las tecnologías de la información y las comunicaciones, porque mediante los citados delitos se protegía, por un lado, la libertad de utilización de las citadas tecnologías y la intimidad, y por el otro, la libertad de trabajo. Es decir, a la información se le tenía como objeto de protección penal, pero no como bien jurídico.
El transcrito artículo 195 del Código Penal fue derogado por el artículo 4.º de la Ley 1273 de 2009, pero tal derogación no dejó sin protección el sistema informático, pues el artículo 269A, adicionado por la citada ley, creó el delito de acceso abusivo a un sistema informático, en términos similares a los del artículo abolido, que se analizará a continuación.
El artículo 269A del Código Penal, adicionado por el 1.º de la Ley 1273 de 2009, a la letra dice:
Acceso abusivo a un sistema informático. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho de excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.
El bien jurídico del delito de acceso abusivo a un sistema informático no es únicamente de característica supraindividual, dado que no solo busca tutelar el interés social que se tiene en la seguridad de la información y los datos, que consiste en la integridad, confidencialidad y disponibilidad de estos, sino también de índole individual, porque protege el bien jurídico de la libertad y otras garantías, que se concreta, en primer lugar, en la libertad informática, que consiste en el derecho que tiene toda persona de recibir, elaborar, modificar, conservar y transmitir información y datos, es decir, a la autodeterminación informática, que caracteriza la libertad de disponer de aquellos y decidir cuáles datos de carácter personal pueden ser obtenidos y tratados por otros; y, en segundo, en el derecho a la intimidad9, porque corresponden al campo íntimo y cerrado de una persona, a quien le asiste, de manera exclusiva, la facultad de seleccionar los terceros autorizados para conocer de la información. Por tal razón, el legislador en principio situó el delito de acceso abusivo a un sistema informático (art. 195) en el título III de los “Delitos contra la libertad individual y otras garantías”, concretamente en el capítulo séptimo, “De la violación a la intimidad, reserva e interceptación de comunicaciones”.
Se trata, entonces, de los denominados bienes jurídicos intermedios, porque la conducta típica se dirige a lesionar de manera inmediata un bien jurídico supraindividual o colectivo, constituido por la integridad, confidencialidad y disponibilidad de los datos y los sistemas informáticos, y de manera mediata el bien jurídico individual (la libertad individual y otras garantías), que de cara a este delito está constituido por el respeto a un ámbito de la vida privada que debe quedar al margen del conocimiento ajeno y de las intromisiones de la tecnología, salvo autorización de su titular.
La descripción del artículo 269A del Código Penal, sin duda, fue inspirada en el contenido del artículo 2, capítulo I, de la Convención de Budapest de 23 de noviembre de 2001, referida a infracciones contra la confidencialidad, integridad y disponibilidad de los datos y sistemas informáticos, que afirma:
Artículo 2. Acceso ilícito. Los Estados firmantes adoptarán las medidas legislativas y de otro tipo que resulten necesarias para tipificar como delito en su derecho interno el acceso deliberado e ilegítimo a la totalidad o a una parte de un sistema informático. Cualquier Parte podrá exigir que el delito se cometa infringiendo medidas de seguridad, con la intención de obtener datos informáticos o con otra intención delictiva, o en relación con un sistema informático que esté conectado a otro sistema informático.
Se trata de una modalidad típica de intrusismo informático, que se refiere a las conductas atentatorias contra la intimidad informática realizadas por un extraño o intruso, que consiste en:
[…] arrogarse ilegalmente —de forma no autorizada— el derecho o la jurisdicción de intrusarse o “ingresar” en un sistema informático o red de comunicación electrónica de datos, con la consecuente trasgresión de las seguridades dispuestas por el “Webmaster” o prestador del servicio al “Webhosting” u “Owner”, con el fin de proteger los servicios de transmisión, almacenamiento y procesamiento de datos que ofrece frente a posibles abusos de terceros (ingreso en cuentas de e-mail ajenas). Así como también la utilización o interferencia indebida de dichos equipos o sistemas informáticos o telemáticos, o la permanencia contumaz en los mismos por fuera de la autorización o del consentimiento válidamente emitido por el titular del derecho10.
El tipo penal describe dos conductas alternativas: 1) acceder en todo o en parte a un sistema informático y 2) mantenerse dentro de él en contra de la voluntad del usuario. A continuación, se analizarán estas dos modalidades.
Entre las varias acepciones del verbo acceder, según el Diccionario de la lengua española, de la Real Academia Española, está la de ‘Entrar en un lugar o pasar a él’, que aplicada al verbo rector de esta modalidad de delito, consiste en ingresar sin la autorización debida a un sistema de tratamiento de la información, de manera directa o remota, con cualquier finalidad: divertirse, satisfacer una curiosidad, cumplir el reto de poderlo hacer, demostrar sus habilidades de hacker, es decir, que podía superar las medidas de seguridad o descifrar los códigos de acceso o passwords y causar daño.
La conducta de hacking consiste en acceder de forma no autorizada o más allá de lo autorizado a un sistema informático o red de telecomunicación electrónica de datos o interferir en él11. El intruso actúa orientado por el deseo de vencer el reto intelectual de superar barreras del sistema, y satisface sus anhelos con el solo hecho de enterarse de su contenido.
Se trata de un delito de mera conducta y de modalidad instantánea, porque se entiende consumado cuando el sujeto agente logra superar la seguridad y el control informáticos, sin que importe que su propósito sea solo vencer los mecanismos de monitoreo y control, que se concreta cuando acceda al sistema informático, o realizar, además, otras conductas lesivas del mismo bien jurídico propias del hacker o cracker, como las de sabotaje informático, que consiste en borrar, suprimir o modificar datos, sin la autorización debida, u obstaculizar el acceso normal al sistema, por ejemplo, lo que podrá dar lugar a un concurso de tipos penales. Con la realización de la conducta de acceder, el autor tiene el control del sistema.
La otra modalidad de la conducta alternativa tipificada por el artículo 269A del Código Penal consiste en que el sujeto activo ha sido autorizado para acceder al sistema informático, pero se mantiene dentro de él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, o de manera no dolosa ingresa al sistema de otro y después de comprobar su ajenidad se mantiene ahí.
Respeto de esta forma de acceso abusivo a un sistema informático, pueden darse dos situaciones: 1) que el sujeto activo ha sido autorizado para acceder al sistema informático y se mantiene dentro de él contra la voluntad de quien tenga el legítimo derecho de excluirlo, y 2) que el sujeto activo no ha sido autorizado para ingresar al sistema informático, al que ha ingresado por caso fortuito o imprudencia, y se mantiene dentro de él.
Para la realización de la primera modalidad de comportamiento típico, el autor ha sido autorizado de forma debida para ingresar al sistema informático, es decir, por quien está facultado hacer tal permisión, pero en contra de la voluntad de quien le ha dado tal facultad permanece de manera arbitraria, engañosa o clandestina en él. Esta forma de acceso abusivo al sistema informático se configura cuando concurran los siguientes elementos:
a. Autorización de ingreso al sistema informático. El sujeto activo de esta modalidad delictiva ha de ser facultado por la persona titular del sistema informático o por la autorizada para ello, para acceder al sistema informático ajeno.
b. Límites a la autorización de ingreso al sistema informático. El otorgante de la autorización para ingresar al sistema informático ajeno ha de fijar límites, tales como el horario de permanencia en el sistema, el tiempo de duración del acceso, etc., pues si no se fijan restricciones no puede decirse que el mantenimiento dentro de él sea típico.
c. Permanencia en el sistema contra la voluntad de quien está facultado para excluirlo. El sujeto autorizado para ingresar al sistema informático se mantiene dentro de él rebasando aquellos límites, contra la voluntad de quien le otorgó tal facultad, quien, a su turno debe manifestar de manera expresa su decisión de exclusión. Esa permanencia puede hacerse de manera arbitraria, engañosa o clandestina.
La segunda modalidad de este comportamiento típico se configura cuando se dan las siguientes circunstancias:
a. Inexistencia de autorización de ingreso al sistema informático. El sujeto activo de esta modalidad delictiva no está facultado por la persona que tiene el legítimo derecho de autorizar el acceso al sistema informático o de excluir de él, para realizar la conducta de ingreso a dicho sistema.
b. Acceso al sistema informático de manera fortuita o imprudente. Conforme a esta circunstancia, el ingreso al sistema no puede ser doloso, porque si el sujeto realiza la conducta de acceso a sistema ajeno con conocimiento de que lo ejecuta y voluntad de cumplirlo, se da la primera de las modalidades delictivas analizadas, es decir, el acceso abusivo a un sistema informático.
c. Permanencia en el sistema contra la voluntad de quien está facultado para excluirlo. El sujeto no autorizado para ingresar al sistema informático se mantiene dentro de él contra la voluntad de quien tiene facultad de autorizar el acceso.
El sujeto activo en la modalidad de acceso sin autorización o por fuera de lo autorizado es indeterminado (no cualificado), porque el tipo no señala ninguna condición respecto del autor, que lo puede ser cualquier persona; pero en lo que hace a la forma de mantenimiento dentro del sistema informático, se exige la condición de haber sido autorizado para ingresar al sistema, que no abandona no obstante la exigencia que en tal sentido le hace quien tiene el legítimo derecho a excluirlo.
Desde luego, la calidad del sujeto activo incide en la agravación de la punibilidad, porque en el numeral 2 del artículo 269H se señala como circunstancia de agravación la calidad de servidor público del autor de cualquiera de los delitos descritos en el título VII bis del Código Penal; el numeral 3 ibidem agrava la pena si el autor es depositario de confianza del poseedor de la información o tiene un vínculo contractual con él; y, el numeral 8 de la misma norma describe como agravante que el sujeto agente sea el responsable de la administración, el manejo o el control de la información.
El sujeto pasivo del delito de acceso abusivo al sistema informático es el titular del respectivo bien jurídico protegido. En este delito no se exige ninguna cualidad del sujeto pasivo diferente de la de ser el usuario del sistema informático al que accede, sin autorización o por fuera de lo acordado, el sujeto activo del delito.
Se explicó antes que mediante el delito analizado se tutela un bien jurídico intermedio, porque su estructura hace que la conducta se dirija a producir la inmediata lesión de un interés de naturaleza supraindividual, la cual, además, causa la mediata lesión o puesta en peligro de otro bien jurídico de naturaleza individual (la libertad individual y otras garantías). Esto amplía el concepto de sujeto pasivo en el delito de acceso abusivo a un sistema informático, porque comprende al titular del interés en la confianza en los datos y la información, es decir, a la sociedad, y al titular del interés jurídico de la libertad individual y la intimidad, que lo es el usuario del respectivo sistema informático.
El objeto material del delito de acceso abusivo a un sistema informático es fenomenológico, porque se define con el concepto de sistema informático.
El Convenio sobre Ciberdelincuencia del Consejo de Europa, de 23 de noviembre de 2001, en el artículo 1.a define el concepto de sistema informático como “todo dispositivo aislado o conjunto de dispositivos interconectados o unidos, que aseguran, en ejecución de un programa, el tratamiento automatizado de datos”.
Todos los estudiosos del tema coinciden al señalar que el sistema informático es el conjunto de elementos o partes interrelacionados que permiten el almacenamiento, tratamiento y procesamiento automático de la información; como también se señala que dicho sistema está integrado por los componentes físico, lógico y humano12. Constituye el componente físico el hardware, conformado, a su turno, por elementos tangibles, como el computador, los procesadores, los sistemas de comunicación y elementos eléctricos, electrónicos, mecánicos, electromecánicos, etc. El componente lógico lo es el software, que es inmaterial, constituido por los programas de cómputo y los procedimientos que permiten realizar diversas tareas sobre los datos. Y, el componente humano se refiere a las personas que crean, mantienen y manipulan el sistema, tales como analistas, programadores, operarios, etc., y sus usuarios.
El sistema informático puede o no estar protegido con una medida de seguridad, porque mientras en el artículo 195 del Código Penal, que tipificó el delito de acceso abusivo a un sistema informático, se estipuló que debía estar protegido, en el artículo 269A de manera expresa se señala que el sistema puede o no tener dicha protección. Por tanto, si el usuario del sistema no lo protege no puede decirse que hay una competencia de la víctima o autopuesta en peligro del bien jurídico de la información y los datos, porque la ley penal colombiana brinda tutela penal a los sistemas informáticos protegidos o no con medida de seguridad.
Conviene señalar que el objeto material de este delito no lo constituye la información ni los datos, dado que si el intruso realiza alguna conducta que los dañe o ponga en peligro, esta puede desplazarse a otro tipo penal, dando lugar, por tanto, a un concurso efectivo con otras modalidades de delito, como el daño informático, por ejemplo.
El acceso abusivo o el mantenimiento dentro de él contra la voluntad del usuario, como ya se subrayó, ha de tener como objeto la totalidad o solo parte del sistema informático.
El delito de acceso abusivo a un sistema informático es solo doloso, dado que el sujeto ha de realizar la conducta con conocimiento y voluntad de cumplir todos los elementos objetivos del tipo y no solo el resultado. De parte del sujeto activo debe existir la voluntad de acceder a un sistema informático ajeno, pues si llegara a ingresar a él de manera accidental o fortuita, la conducta sería atípica desde el punto de vista subjetivo; salvo que, una vez que el sujeto haya comprobado que de dicha forma ha ingresado al sistema informático ajeno, decida mantenerse dentro de él en contra de la voluntad del usuario, porque en tal evento no hay duda de que la conducta se torna en dolosa respecto de la modalidad de mantenimiento dentro del sistema informático. Por tanto, este delito no admite la modalidad de culpa.
Además, el tipo penal no describe elementos subjetivos especiales o ingredientes subjetivos, pues no se exige respecto del sujeto agente una especial actitud respecto de su conducta.
El bien jurídico del delito de obstaculización ilegítima de sistema informático o red de telecomunicaciones es, por un lado, colectivo o supraindividual, porque tutela el interés social en la seguridad y confianza en la información y los datos, que, como se ha repetido, consiste en la integridad, confidencialidad y disponibilidad de estos, y, por otro, de carácter individual, porque vela por el interés de la libertad informática, que se concreta en el derecho que tienen todas las persona de acceder a un sistema informático, a los datos informáticos contenidos en él o a una red de telecomunicaciones, el cual es de índole individual porque protege el bien jurídico de la libertad y otras garantías, que consiste en la autodeterminación informática, que es el derecho que tiene toda persona de recibir, elaborar, modificar, conservar y transmitir información y datos. Es, por tanto, otro de los denominados bienes jurídicos intermedios.
El artículo 269B lo describe en los siguientes términos:
Obstaculización ilegítima de sistema informático o red de telecomunicación. El que, sin estar facultado para ello, impida u obstaculice el funcionamiento o el acceso normal a un sistema informático, a los datos informáticos allí contenidos, o a una red de telecomunicaciones, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor13.
El delito de obstaculización ilegítima de sistema informático o red de telecomunicación es de mera conducta y de modalidad permanente, porque esta se entiende consumada cuando el sujeto activo realiza el comportamiento que impide u obstaculiza el funcionamiento del sistema informático o el acceso normal a los datos informáticos o a una red de telecomunicaciones, sin que importe si el fin buscado por aquel sea no solo el de atentar contra el derecho que tiene el usuario de utilizar el servidor, sino también el de realizar otra conducta, como la de destruir, deteriorar, etc., datos contenidos en el sistema, lo que da lugar a un concurso del delitos.
El delito es permanente, porque su consumación crea una situación antijurídica que se extiende hasta cuando el autor deja de realizar la conducta de manera voluntaria o el usuario logra restablecer el servicio.
La conducta típica del delito de obstaculización ilegítima de sistema informático o red de telecomunicación se rige por los verbos impedir y obstaculizar. Impedir, según el Diccionario de la lengua española, de la Real Academia Española, es ‘Estorbar, imposibilitar la ejecución de una cosa. 2. Suspender, embargar’; obstaculizar es ‘Impedir o dificultar la consecución de un propósito’.
A pesar de que las citadas expresiones pudieran ser calificadas de sinónimas, dada la descripción típica se les ha de asignar diferentes significaciones. En efecto, el impedir el funcionamiento o el acceso normal a un sistema informático, a los datos o una red de telecomunicaciones ha de entenderse como imposibilitar, al menos durante el tiempo que dure la realización de la conducta, toda posibilidad de dicho funcionamiento y acceso; mientras que la obstaculización es poner cortapisas para dificultarlos. Desde luego que las dos conductas se concretan en no permitir el funcionamiento normal del sistema o el acceso a él de parte del usuario o de quien tenga derecho a hacerlo; lo mismo que en dificultar el funcionamiento de una red de telecomunicaciones o el acceso a ella
Diversos medios pueden ser empleados por el sujeto activo, tales como la utilización de programa malicioso (malware), diseñado para dificultar el funcionamiento del sistema informático o el acceso a él, o a una red de telecomunicaciones, que se puede ejecutar mediante la introducción de virus informáticos, programas espía, troyanos y gusanos, por ejemplo14. Igualmente mediante el denominado “ataque de denegación de servicio”, que consiste en acometer contra un sistema de computadores o red, mediante la saturación de los puertos y la invasión de la red, para sobrecargar el servidor y dificultar el funcionamiento del sistema informático, dado que causa una lentitud de internet que imposibilita la continuación de la prestación del servicio, motivada por la cantidad de solicitudes, por ejemplo15; por esta razón se le llama “denegación”, porque la saturación del sistema por medio de muchas solicitudes de utilización de sus recursos causa su bloqueo, lo que le impide al usuario disfrutar de sus servicios o acceder a los datos contenidos en el servidor o a la red de telecomunicación, es decir, produce la afectación del uso.
El delito de obstaculización ilegítima de sistema informático o red de telecomunicaciones se rige por una pluralidad de conductas de carácter alternativo, a saber: 1) impedir u obstaculizar el funcionamiento de un sistema informático; 2) impedir u obstaculizar el acceso normal a un sistema informático; 3) impedir u obstaculizar el acceso a los datos informáticos contenidos en el sistema informático; 4) impedir u obstaculizar el funcionamiento de una red de telecomunicaciones y el acceso normal a ella; y 5) impedir u obstaculizar el acceso normal a una red de telecomunicaciones. A continuación, se explican dichas conductas.
1. Impedir u obstaculizar el funcionamiento de un sistema informático. Si funcionamiento es, según el Diccionario de la lengua española, de la Real Academia Española, ‘Acción y efecto de funcionar’, y funcionar, de acuerdo con el mismo diccionario, es ‘Ejecutar una persona, máquina, etc., las funciones que le son propias’, ha de concluirse que la realización de esta modalidad de conducta consiste en estorbar el funcionamiento del sistema informático o imposibilitar sus funciones.
2. Impedir u obstaculizar el acceso normal a un sistema informático. Esta modalidad de conducta consiste en no permitir el ingreso de quien tiene derecho a un sistema de tratamiento de la información, de manera directa o remota.
3. Impedir u obstaculizar el acceso a los datos informáticos contenidos en el sistema informático e impedir y obstaculizar el funcionamiento de los datos. Si por dato se entiende “cualquier representación de hechos, información o conceptos de una forma que permita el tratamiento informático, incluido un programa diseñado para que un sistema informático ejecute una función”16, ha de inferirse que esta forma de comportamiento consiste en imposibilitar o dificultar el ingreso a la base de datos (input) o a su procesamiento o salida (output) u obstaculizar el ingreso a los ficheros17.
4. Impedir u obstaculizar el funcionamiento de una red de telecomunicaciones y el acceso normal a ella. Si una red de telecomunicaciones consiste en la infraestructura física mediante la cual se transporta la información desde la fuente hasta el destino, ha de entenderse que para impedir u obstaculizar su funcionamiento o el acceso normal a esta ha de llevarse a cabo conducta que consista en afectar sus elementos físicos.
El artículo 14 del Decreto Ley 1900 de 1990 establece:
La red de telecomunicaciones del Estado es el conjunto de elementos que permite conexiones entre dos o más puntos definidos para establecer la telecomunicación entre ellos, y a través de la cual se prestan los servicios al público. Hacen parte de la red los equipos de conmutación, transmisión y control, cables y otros elementos físicos, el uso de los soportes lógicos, y la parte del espectro electromagnético asignada para la prestación de los servicios y demás actividades de telecomunicaciones.
Existen varias maneras de obstaculización de una red de telecomunicaciones, las cuales, por lo general, afectan los elementos físicos de esta, porque dicha red está integrada por elementos de tal carácter.
Desde luego que las dos conductas se concretan en no permitir el funcionamiento normal del sistema o el acceso a él de parte del usuario o de quien tenga derecho a hacerlo; lo mismo que en dificultar el funcionamiento de una red de telecomunicaciones o el acceso a ella.
El sujeto activo del delito de obstaculización ilegítima de sistema informático o red de telecomunicaciones es indeterminado, porque el tipo penal no fija ninguna cualificación respecto del autor, razón por la cual se trata de un delito común o de dominio y no especial o de infracción de deber.
Como el bien jurídico que se tutela mediante la tipicidad del delito de obstaculización ilegítima de sistema informático o red de telecomunicaciones es intermedio porque por un lado se protege la integridad, confidencialidad y disponibilidad de la información y los datos, que es de carácter supraindividual o colectivo, cuyo titular lo es la sociedad, y por otro, se tutela la libertad informática, que es de índole individual, ha de concluirse que el sujeto pasivo de este delito lo es la sociedad, como titular del interés en la confianza en los datos y la información, y el usuario (persona natural o jurídica) del sistema informático o dueño de la red de telecomunicaciones, como titular del interés jurídico de la libertad individual.
En el delito de obstaculización ilegítima de sistema informático o red de telecomunicaciones se describen tres objetos materiales: el sistema informático, los datos informáticos y la red de telecomunicaciones. Es decir, se describen dos objetos materiales fenomenológicos y un tercero que puede ser fenomenológico o real. Estos conceptos ya fueron definidos.
El delito de obstaculización ilegítima de sistema informático o red de telecomunicaciones es solo doloso. No admite, por tanto, la modalidad culposa. El tipo penal no describe elementos subjetivos especiales o ingredientes subjetivos, pues no se exige respecto del sujeto agente una especial actitud respecto de su conducta.
El bien jurídico del delito de interceptación de datos informáticos es intermedio. Por un lado, colectivo o supraindividual, porque tutela el interés social en la seguridad y la confianza en la información y los datos, que, como se ha repetido, consiste en la integridad, confidencialidad y disponibilidad de estos; y por el otro, de carácter individual, porque protege la intimidad, la confidencialidad de la información, la que solo ha de estar disponible para las personas autorizadas a tener acceso a esta.