UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES UNIANDES - DSpace en...

1

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES

UNIANDES

FACULTAD DE JURISPRUDENCIA

ESCUELA DE DERECHO

TESIS DE GRADO PREVIA LA OBTENCIÓN DEL TÍTULO DE

MAGISTER EN DERECHO PENAL Y CRIMINOLOGÍA

TEMA:

“EL DELITO INFORMÁTICO DE PHISHING”

MAESTRANTE:

AB. JUAN CARLOS VALLE MATUTE. ESP.

ASESOR:

AB. RAÚL HERRÁEZ QUEZADA

QUEVEDO-ECUADOR

AÑO-2013

2

CERTIFICACIÓN DEL TUTOR

Abogado Raúl Herráez Quezada, tutor de la tesis cuyo tema es: “EL DELITO

INFORMÁTICO DE PHISHING”, presentado por el Ab. Juan Carlos Valle Matute,

Esp., estudiante de Postgrado de la Universidad Regional Autónoma de los Andes,

UNIANES-QUEVEDO, certifico que ha sido revisado en toda sus partes, por lo tanto

reúne todos los requisitos de fondo y forma exigidos por la Universidad, se

recomienda continuar con el trámite respectivo.

AB. RAÚL HERRÁEZ QUEZADA

3

CERTIFICACIÓN DE AUTORÍA

Ab. Juan Carlos Valle Matute Esp., estudiante de Postgrado de la Universidad

Regional Autónoma de los Andes, UNIANES-QUEVEDO, declaro que el tema “EL

DELITO INFORMÁTICO DE PHISHING” es original, por lo tanto de mi autoría, son

de mi exclusiva responsabilidad todos los temas tratados en la tesis

AB. JUAN CARLOS VALLE MATUTE ESP.

4

DEDICATORIA

Dedico este trabajo en primer lugar a Dios por brindarme la oportunidad de cumplir

con una meta más en mi vida, a toda mi familia, pero especialmente a mi padre que

ha sido siempre una gran inspiración y modelo a seguir, y a mis hermanos Andy y

Abel, que desde el lugar en donde estén, me siguen cuidando y sé que estarán

orgullosos por este nuevo logro.


5

AGRADECIMIENTO

Principalmente a Dios por otorgarme salud, sabiduría, paciencia, optimismo, que me

ha permitido culminar con éxito todo reto que me propongo y gracias a Él termino

esta etapa tan importante de la misma.

Agradezco a mi familia, en especial a mis hijas, que son mi impulso y motivación a

seguir adelante con todos los proyectos de mi vida, por la paciencia tenida a lo largo

de esta travesía. Y agradezco también a todos mis maestros que aportaron a mi

formación durante esta maestría.


6

ÍNDICE

RESUMEN EJECUTIVO ............................................................................................ 12

EXECUTIVE SUMMARY ........................................................................................... 13

INTRODUCCIÓN ....................................................................................................... 14

CAPÍTULO I ............................................................................................................... 15

EL PROBLEMA .......................................................................................................... 15

1.1.- Planteamiento del problema. ............................................................................. 15

1.1.1.- Formulación del problema. .......................................................................... 23

1.1.2.- Delimitación del problema. .......................................................................... 23

1.2.- Objetivos ............................................................................................................ 24

1.2.1.- Objetivo General ......................................................................................... 24

1.2.2.- Objetivos Específicos .................................................................................. 24

1.3.- Justificación. ...................................................................................................... 24

CAPÍTULO II .............................................................................................................. 26

MARCO TEÓRICO .................................................................................................... 26

2.1.- Antecedentes Investigativos .............................................................................. 26

2.2. Fundamentación Científica: Esquema de Contenidos. ....................................... 26

2.2.1. Legislación y Delitos Informáticos, Otros Tipos de Delitos Informáticos ....... 26

2.2.2. El Delito del Phishing .................................................................................... 30

2.2.2.1 Origen .................................................................................................... 30

7

Phishing ..................................................................................................................... 30

2.2.2.2 Tipos de Phishing ................................................................................... 32

2.2.2.3. Clasificación del Phishing según la participación de la víctima y la

complejidad de la Tecnología de la Estafa ......................................................... 45

2.2.2.4. Fases del Phishing ................................................................................. 46

2.2.2.5 Definiciones ........................................................................................... 49

2.2.3. Criminología del Phishing ............................................................................. 52

2.2.3.1 El Ciberterrorismo. .................................................................................. 52

2.2.3.2 La Falsificación Electrónica ..................................................................... 53

2.2.3.3 La Estafa Informática y la Apropiación Ilícita (Aplicado al Phishing) ....... 54

2.2.4 Sistemas de Seguridad Informática ............................................................... 55

2.2.4.1 Seguro informático .................................................................................. 55

2.2.4.2 Seguridad de la Banca en Línea ............................................................. 57

2.2.5 Legislación comparada .................................................................................. 60

2.2.5.1 Legislación y Delitos Informáticos - Alemania ......................................... 61

2.2.5.2 Legislación y Delitos Informáticos - Austria ............................................. 62

2.2.5.3 Legislación y Delitos Informáticos - China .............................................. 62

2.2.5.4 Legislación y Delitos Informáticos - Francia ............................................ 63

2.2.5.5 Legislación y Delitos Informáticos - Holanda .......................................... 63

2.2.5.6 Legislación y Delitos Informáticos - Inglaterra ......................................... 65

8

2.2.5.7 Legislación y Delitos Informáticos - Chile................................................ 65

2.2.5.8 Legislación y Delitos Informáticos - España ............................................ 66

2.2.5.9 Legislación y Delitos Informáticos - Estados Unidos ............................... 67

2.2.5.10 Legislación en el Ecuador ..................................................................... 69

2.2.5.11 La Constitución del Ecuador ................................................................. 79

2.2.5.12 Análisis del Código Integral Penal ........................................................ 81

TÉRMINOS BÁSICOS.- ............................................................................................. 84

NEOCONSTITUCIONALISMO .................................................................................. 88

ORALIDAD ................................................................................................................. 89

REFORMA ................................................................................................................. 90

TECNOLOGIAS DE LA INFORMACIÓN Y COMUNICACIÓN (TIC´S) ...................... 91

FUNDAMENTOS FILOSÓFICOS Y AXIOLÓGICOS DE LA UNIANDES .................. 92

2.3.- Idea a defender .................................................................................................. 93

2.4.- Variables ............................................................................................................ 93

CAPÍTULO III ............................................................................................................. 94

MARCO METODOLÓGICO ....................................................................................... 94

3.1. Modalidad de Investigación. ................................................................................ 94

3.2. Tipos de Investigación ........................................................................................ 94

3.2.1 Por su diseño ................................................................................................. 94

3.2.2 Por su alcance ............................................................................................... 95

9

3.3. Población y Muestra. ........................................................................................... 95

3.4.- Métodos, Técnicas e Instrumentos de la Investigación. ..................................... 96

3.4.1.- Métodos....................................................................................................... 96

MÉTODO HISTÓRICO-LÓGICO .......................................................................... 102

MÉTODO LÓGICO INDUCTIVO .......................................................................... 102

MÉTODO ANALÍTICO-SINTÉTICO ...................................................................... 103

MÉTODOS MATEMÁTICOS Y ESTADÍSTICOS .................................................. 104

3.4.2.- Técnicas .................................................................................................... 104

3.4.3 Instrumentos ................................................................................................ 105

3.5.- Interpretación de Resultados ........................................................................... 108

3.5.1. Encuesta a los Operadores de Justicia de la Corte Provincial de Justicia del

Guayas ................................................................................................................. 108

3.5.2. Encuesta a los Abogados en Libre Ejercicio Profesional ............................ 111

3.5.3. Encuesta a los Socios de la Cámara de Comercio de Guayaquil............... 114

CAPÍTULO IV ........................................................................................................... 117

MARCO PROPOSITIVO .......................................................................................... 117

TÍTULO: ................................................................................................................... 117

REFORMA AL CÓDIGO PENAL PARA TIPIFICAR Y SANCIONAR EL DELITO DE

PHISHING. ............................................................................................................... 117

4.1 Desarrollo de la propuesta. ................................................................................ 117

4.1.1 Caracterización de la propuesta .................................................................. 117

10

4.1.2 Incidencia de la propuesta en la solución del problema. ............................. 117

4.2 Presentación detallada de la propuesta. ............................................................ 118

4.2.1 Exposición de Motivos ................................................................................. 118

REPÚBLICA DEL ECUADOR .............................................................................. 118

FUNCIÓN LEGISLATIVA ..................................................................................... 118

ASAMBLEA NACIONAL ....................................................................................... 118

EL PLENO DE LA COMISIÓN LEGISLATIVA Y DE FISCALIZACIÓN. ............... 118

CONSIDERANDO: ............................................................................................... 118

En ejercicio de sus atribuciones constitucionales expide la siguiente: ................. 119

LEY REFORMATORIA AL CÒDIGO PENAL QUE TIPIFICA EL DELITO DE

PHISHING. ........................................................................................................... 119

4.3 Validación en la Propuesta. ............................................................................... 120

4.4 Por qué sancionar el delito de Phishing. ............................................................ 120

4.4.1. Comentario ................................................................................................. 121

4.4.2. Mecanismos para la aplicación de esta reforma: ........................................ 122

4.4.2.1 Búsqueda de respuestas a las tendencias recientes ............................ 123

4.4.2.2 Aplicación de la Ley .............................................................................. 123

4.4.2.3 Fomento de la Capacidad ..................................................................... 124

4.4.2.4 Capacitación ......................................................................................... 124

4.5 Conclusiones y Recomendaciones .................................................................... 125

11

4.5.1 Conclusiones ............................................................................................... 125

4.5.2 Recomendaciones ....................................................................................... 126

BIBLIOGRAFIA ........................................................................................................ 128

LEGISGRAFIA ......................................................................................................... 129

LINCOGRAFIA ......................................................................................................... 130

12

RESUMEN EJECUTIVO

El presente proyecto tiene como objetivo brindar una visión global del estado de los

delitos informáticos en el Ecuador, por cuanto hay varias maneras en que los

ciudadanos pueden ser víctimas de un fraude a través de las redes informáticas, es

por eso que existe la necesidad de dar a conocer los distintos tipos de delitos

frecuentes en estas redes, en especial uno de los más innovadores como es el delito

de phishing, su forma de ejecución y la finalidad que tienen las personas que realizan

este ilícito.

La sociedad ecuatoriana, día a día se desenvuelve cada vez más en el mundo

tecnológico, las compras, ventas, transacciones bancarias, pagos, etc, se pueden

realizar a través del internet y estas facilidades del comercio hacen que la sociedad

dependa de la tecnología y haga uso frecuente de ella, lo cual se torna peligroso

porque existen mayores probabilidades que los ciudadanos sean víctimas de fraude

informático por parte de personas que suelen pasar desapercibidos, sabotean las

computadores y se apropian indebidamente de lo que no les corresponde.

13

EXECUTIVE SUMMARY

This project aims to provide a global view of the state of the computer crime in

Ecuador, as there are several ways in which citizens can be victims of a fraud through

computer networks, that's why there is a need to publicize the various types of

offenses frequent in these networks, in particular one of the most innovative as it is

the crime of phishing, its form of execution and purpose that have the people who

make this illegal.

The Ecuadorian society, day to day lives are increasingly in the technological world,

purchases, sales, banking transactions, payments, etc, can be performed via the

internet and these facilities of the trade make the society depends on the technology

and make frequent use of it, which becomes dangerous because there are more likely

than citizens are victims of computer-related fraud on the part of persons that are

often overlooked, sabotaged the computers and misappropriate what not theirs.

14

INTRODUCCIÓN

La presente tesis de grado, fundamentalmente tiene como objetivo brindar una visión

en lo que respecta el delito informático de phishing en el Ecuador, en cuanto a su

forma de utilización, su regulación, así como también identificar lo más relevante que

debe regular el Ecuador para el tratamiento del mismo.

En el Capítulo I se abordará el problema en sí que engloba el delito informático de

phishing, el objetivo que se tiene al realizar el presente proyecto investigativo, dando

a conocer que efectivamente la sociedad ecuatoriana carece de la protección judicial

del Estado Ecuatoriano; que las autoridades judiciales, están obligados a conocer,

investigar y resolver, estas situaciones que pueden presentarse en la sociedad

ecuatoriana.

En el Capítulo II se expondrá el marco conceptual del delito de phishing, su historia,

la criminalidad informática, así como también las leyes relacionadas que se

encuentran establecidas en la legislación ecuatoriana.

En el Capítulo III se desarrollará el análisis e interpretación de los resultados

obtenidos a través de la encuesta realizada sobre la reforma a la legislación

ecuatoriana respecto a incrementar la tipificación específica al delito de phishing.

Cada una de las preguntas realizadas, se analizó para obtener los resultados

correspondientes, para poder tener un mejor entendimiento de los datos obtenidos,

cada gráfico o tabla a mostrar tendrá una explicación de los resultados.

Por último en el Capítulo IV, se expondrá la propuesta de reformar el marco legal

ecuatoriana, para poder hacer frente a estas conductas delictivas que hacen uso de

las nuevas tecnología, como propuestas iniciales y recomendaciones externas para

el tratamiento de los delitos informáticos

15

CAPÍTULO I

EL PROBLEMA

1.1.- Planteamiento del problema.

El delito informático implica actividades criminales que los países han tratado de

encuadrar en figuras típicas de carácter tradicional, tales como robos, hurtos,

fraudes, falsificaciones, perjuicios, estafas, sabotajes. Sin embargo, debe destacarse

que el uso de las técnicas informáticas han creado nuevas posibilidades del uso

indebido de las computadoras lo que ha creado la necesidad de regulación por parte

del derecho.

Se considera que no existe una definición formal y universal de delito informático

pero se han formulado conceptos respondiendo a realidades nacionales concretas:

"no es labor fácil dar un concepto sobre delitos informáticos, en razón de que su

misma denominación alude a una situación muy especial, ya que para hablar de

"delitos" en el sentido de acciones típicas, es decir tipificadas o contempladas en

textos jurídicos penales, se requiere que la expresión "delitos informáticos" esté

consignada en los códigos penales, lo cual en nuestro país, al igual que en otros

muchos no han sido objeto de tipificación aún." 1

En 1983, la Organización de Cooperación y Desarrollo Económico (OCDE) inicio un

estudio de las posibilidades de aplicar y armonizar en el plano internacional las leyes

penales a fin de luchar contra el problema del uso indebido de los programas

computacionales.

En 1992 la Asociación Internacional de Derecho Penal, durante el coloquio celebrado

en Wurzburgo (Alemania), adoptó diversas recomendaciones respecto a los delitos

1 TÉLLES VALDEZ, Julio. Derecho Informático. 2° Edición. Mc Graw Hill. México. 1996 Pág. 103-104

16

informáticos, entre ellas que, en la medida que el Derecho Penal no sea suficiente,

deberá promoverse la modificación de la definición de los delitos existentes o la

creación de otros nuevos, si no basta con la adopción de otras medidas como por

ejemplo el "principio de subsidiariedad".

Se entiende Delito como: "acción penada por las leyes por realizarse en perjuicio de

algo o alguien, o por ser contraria a lo establecido por aquéllas". 2

Finalmente la OCDE publicó un estudio sobre delitos informáticos y el análisis de la

normativa jurídica en donde se reseñan las normas legislativas vigentes y se define

Delito Informático como "cualquier comportamiento antijurídico, no ético o no

autorizado, relacionado con el procesado automático de datos y/o transmisiones de

datos." 3

"Los delitos informáticos se realizan necesariamente con la ayuda de los sistemas

informáticos, pero tienen como objeto del injusto la información en sí misma". 4

Adicionalmente, la OCDE elaboró un conjunto de normas para la seguridad de los

sistemas de información, con la intención de ofrecer las bases para que los distintos

países pudieran erigir un marco de seguridad para los sistemas informáticos.

1. En esta delincuencia se trata con especialistas capaces de efectuar el crimen

y borrar toda huella de los hechos, resultando, muchas veces, imposible de

deducir como es como se realizó dicho delito. La Informática reúne

características que la convierten en un medio idóneo para la comisión de

nuevos tipos de delitos en que en gran parte del mundo ni siquiera han podido

ser catalogados.

2 MOLINER, María. Diccionario de María Moliner Edición Digital. Copyright© 1996 Novel Inc.; Copyright © 1996 María Moliner. 3 Definición elaborada por un Grupo de Expertos, invitados por la OCDE a París en Mayo de 1993. 4 CARRION, Hugo Daniel. Tesis "Presupuestos para la Punibilidad del Hacking". Julio 2001.

17

2. La legislación sobre sistemas informáticos debería perseguir acercarse lo más

posible a los distintos medios de protección ya existentes, pero creando una

nueva regulación basada en los aspectos del objeto a proteger: la información.

En este punto debe hacerse un punto y notar lo siguiente:

No es la computadora la que atenta contra el hombre, es el hombre el que

encontró una nueva herramienta, quizás la más poderosa hasta el momento,

para delinquir.

No es la computadora la que afecta nuestra vida privada, sino el

aprovechamiento que hacen ciertos individuos de los datos que ellas

contienen.

La humanidad no está frente al peligro de la informática sino frente a

individuos sin escrúpulos con aspiraciones de obtener el poder que significa el

conocimiento.

Por eso la amenaza futura será directamente proporcional a los adelantos de

las tecnologías informáticas.

La protección de los sistemas informáticos puede abordarse desde distintos

perspectivas: civil, comercial o administrativa.

Lo que se deberá intentar es que ninguna de ellas sea excluyente con las demás y,

todo lo contrario, lograr una protección global desde los distintos sectores para

alcanzar cierta eficiencia en la defensa de estos sistemas informáticos.

Julio Téllez Valdez clasifica a los delitos informáticos en base a dos criterios:

1. Como instrumento o medio: se tienen a las conductas criminales que se valen

de las computadoras como método, medio o símbolo en la comisión del ilícito.

18

Ejemplos:

Falsificación de documentos vía computarizada: tarjetas de créditos, cheques,

etc.

Variación de la situación contable.

Planeamiento y simulación de delitos convencionales como robo, homicidio y

fraude.

Alteración el funcionamiento normal de un sistema mediante la introducción de

código extraño al mismo: virus, bombas lógicas, etc.

Intervención de líneas de comunicación de datos o teleprocesos.

2. Como fin u objetivo: se enmarcan las conductas criminales que van dirigidas

en contra de la computadora, accesorios o programas como entidad física.

Ejemplos:

Instrucciones que producen un bloqueo parcial o total del sistema.

Destrucción de programas por cualquier método.

Atentado físico contra la computadora, sus accesorios o sus medios de

comunicación.

Secuestro de soportes magnéticos con información valiosa, para ser utilizada

con fines delictivos.

Este mismo autor sostiene que las acciones delictivas informáticas presentan las

siguientes características:

19

1. Sólo una determinada cantidad de personas (con conocimientos técnicos por

encima de lo normal) pueden llegar a cometerlos.

2. Son conductas criminales del tipo "cuello blanco": no de acuerdo al interés

protegido (como en los delitos convencionales) sino de acuerdo al sujeto que

los comete. Generalmente este sujeto tiene cierto status socioeconómico y la

comisión del delito no puede explicarse por pobreza, carencia de recursos,

baja educación, poca inteligencia, ni por inestabilidad emocional.

3. Son acciones ocupacionales, ya que generalmente se realizan cuando el

sujeto atacado se encuentra trabajando.

4. Son acciones de oportunidad, ya que se aprovecha una ocasión creada por el

atacante.

5. Provocan pérdidas económicas.

6. Ofrecen posibilidades de tiempo y espacio.

7. Son muchos los casos y pocas las denuncias, y todo ello por la falta de

regulación y por miedo al descrédito de la organización atacada.

8. Presentan grandes dificultades para su comprobación, por su carácter técnico.

9. Tienden a proliferar, por lo se requiere su urgente regulación legal.

María Luz Lima, por su parte, presenta la siguiente clasificación de "delitos

electrónicos" 5:

1. Como Método: conductas criminales en donde los individuos utilizan métodos

electrónicos para llegar a un resultado ilícito.

5 LIMA de la LUZ, María. Criminalia N° 1-6 Año L. Delitos Electrónicos. Ediciones Porrua. México. Enero-Julio 1984.

20

2. Como Método: conductas criminales en donde los individuos utilizan métodos

electrónicos para llegar a un resultado ilícito.

3. Como Medio: conductas criminales en donde para realizar un delito utilizan

una computadora como medio o símbolo.

4. Como Fin: conductas criminales dirigidas contra la entidad física del objeto o

máquina electrónica o su material con objeto de dañarla.

Los ciudadanos comunes que acceden a los portales de internet, como la banca en

línea o pagos de sus cuentas o transacciones que realizan a través de los distintos

portales de internet ecuatorianos y que son víctimas del delito informático del

phishing carecen de la protección judicial del Estado Ecuatoriano; esta protección

que es tan invocada en los Principios del Derecho Penal, en la Constitución y en el

mismo Código Penal, que las autoridades judiciales, están obligados a conocer,

investigar y resolver, estas situaciones que pueden presentarse en la sociedad

ecuatoriana.

El objetivo del engaño es adquirir información confidencial del usuario como

contraseñas, tarjetas de crédito o datos financieros y bancarios, podríamos

considerar como una estafa con sus elementos, características y victimología

diferentes a las ya establecidas en el Código Penal Ecuatoriano.

Al no existir la tutela efectiva de los derechos de los ciudadanos que por agilitar sus

procesos internos y de sus actividades propias en una era tecnológica que permite

que desde cualquier lugar en que se encuentren, por ser las comunicaciones móviles

fáciles y rápidas para generar transacciones o pagos en línea, se debe de garantizar

su protección en cuanto a la identidad del ciudadano y datos que son consignados o

almacenados en las distintas redes bancarias y financieras del país sujetas al control

de la Superintendencia de Bancos, además de la seguridad que el Estado debe de

aplicar para que los ciudadanos no sigan estando desprotegidos e indefensos ante

21

estos actos producidos por las entidades financieras y de las demás redes que

tienen sus portales en internet.

Los sujetos que perpetran el delito informático de phishing buscan e identifican a la

víctima, con el objetivo de que el delito que van a cometer no sea fácilmente

detectable, porque al extraer las claves de los ciudadanos que acceden a estos

portales de la banca en línea, no sólo que vulneran la confidencialidad sino que

además efectúan débitos y son depositados a cuentas bancarias de terceros en otros

bancos o realizan pagos electrónicos de diversos servicios que no tienen ninguna

relación con la víctima, perjudicando gravemente a las víctimas, porque una vez

registrada la transacción sea éste débito o crédito no existe el mecanismo legal para

determinar que ha sido víctima, el proceso del retroceso de las transacciones

efectuadas y consecuentemente, del resarcimiento de los daños y perjuicios

ocasionados en su contra.

El delito informático de phishing puede producirse de varias formas, desde un simple

mensaje a su teléfono móvil, una llamada telefónica, una web que simula una

entidad, una ventana emergente, y la más usada y conocida por los internautas, la

recepción de un correo electrónico. Pueden existir más formatos pero en estos

momentos solo mencionamos los más comunes;

- SMS (mensaje corto); La recepción de un mensaje donde le solicitan sus datos

personales.

- Llamada telefónica; Pueden recibir una llamada telefónica en la que el emisor

suplanta a una entidad privada o pública para que usted le facilite datos privados. Un

ejemplo claro es el producido el 2005 con la Agencia Tributaria de España, ésta

advirtió de que algunas personas están llamando en su nombre a los contribuyentes

para pedirles datos, como su cuenta corriente, que luego utilizan para hacerles

cargos monetarios.

22

- Página web o ventana emergente; es muy clásica y bastante usada. En ella se

simula suplantando visualmente la imagen de una entidad oficial, empresas, etc

pareciendo ser las oficiales. El objeto principal es que el usuario facilite sus datos

privados. La más empleada es la "imitación" de páginas web de bancos, siendo el

parecido casi idéntico pero no oficial. Tampoco olvidamos sitios web falsos con

señuelos llamativos, en los cuales se ofrecen ofertas irreales y donde el usuario

novel facilita todos sus datos, un ejemplo fue el descubierto por la Asociación de

Internautas y denunciado a las fuerzas del Estado españolas.

Los efectos del delito informático “phishing”, son resultado de la consecución de

actos repetitivos pudiendo ser de variadas las formas ejecutadas por un experto en

informática, no relacionado con la víctima en la gran mayoría de los casos y que

ocasiona que la víctima con su consentimiento cede a ingresar a estos sitios y

proporcionar sus datos confidenciales.

Nuestro país carece de una legislación referente al delito informático de phishing,

donde los causantes de este tipo de delitos informático no son sancionados, los

derechos de los ciudadanos quedan lesionados tanto psicológicamente y

económicamente, porque al otorgar a los delincuentes los datos de sus claves de sus

sitios, éstos tienen acceso a toda la información que pudiere existir y de los lugares

que frecuenta la víctima, pudiendo dar lugar a que exista la concurrencia de otros

delitos posterior al cometimiento del delito informático del phishing como los delitos

contra a la propiedad.

Es lamentable decir, que si continúan realizándose este tipo de delito informático de

phishing en contra de las personas naturales o jurídicas, tendremos además del

perjuicio económico, el detrimento de las imágenes corporativas de las entidades

financieras que en lugar de ofrecer el servicio de banca en línea como un servicio de

ayuda y que facilite al cliente va a ser el camino a que los delincuentes que se

encuentran en el internet acechen en contra de los clientes de estas entidades.

23

Para mejor explicación de nuestro problema, utilizamos una herramienta muy

práctica como es el árbol de problemas (Anexo 1), el mismo que a continuación

analizamos la relación causa-problema-efectos:

La legislación ecuatoriana no se encuentra actualizada, por lo tanto, la nueva

modalidad (delito informático) ocasiona la impunidad, porque en la ley penal el Juez

se remite solamente a la letra de la ley.

Los valores de vida son un conjunto de elementos de vida que están ligados

íntimamente en nuestro ser, son de gran importancia en cualquier persona y que son

la base para el entendimiento y progreso, por lo que el delito informático actualmente

es parte de la crisis de valores en la sociedad.

El mal uso de las TIC´s o la mala interacción web, es lo que provoca problemas, lo

que lleva a un uso indiscriminado e inadecuado de los medios y recursos

tecnológicos, en este caso el hackeo informático.

La crisis económica hace que la delincuencia sea día a día una mayor amenaza

contra la integridad de las personas y un obstáculo para el desarrollo

socioeconómico de los países, la misma que ha evolucionado a través de diversos

métodos de apropiación indebida de dinero, como es el presente caso de estudio, (el

phishing), fenómeno que afecta cada vez más a los ciudadanos, especialmente los

que hacen uso de las Tecnologías de Información y Comunicación.

1.1.1.- Formulación del problema.

La legislación penal ecuatoriana no consagra el Delito informático del Phishing como

institución con sentido punitivo, lo que ha generado impunidad de estos actos ilícitos

y perjuicio al derecho de la propiedad.

1.1.2.- Delimitación del problema.

Objeto de estudio.- Derecho Penal

24

Campo de acción.- Delito Informático

Lugar: Corte Provincial de Justicia del Guayas

Año: 2013

Línea de Investigación: Administración de Justicia

1.2.- Objetivos

1.2.1.- Objetivo General

Diseñar una reforma a la normativa jurídica vigente respecto al delito informático de

phishing, para que se evite la impunidad de estos actos ilícitos, y se garantice el

derecho a la propiedad, para lo cual se efectuará una investigación profunda acerca

del fenómeno de las infracciones informáticas, obteniendo resultados que permitan la

adopción de medidas de precaución en la administración de justicia, para una mejor

interpretación de la reforma a realizar.

1.2.2.- Objetivos Específicos

1. Elaborar las bases teóricas de la tesis en base a la consulta de los diferentes

autores nacionales y extranjeros que tienen relación con el tema de investigación

2. Utilizar los métodos, técnicas e instrumentos de la investigación científica

3. Diseñar las estrategias de la propuesta.

4. Validación de la propuesta por la vía de los expertos

1.3.- Justificación.

La motivación de la selección de este tema radica esencialmente en el incremento de

los casos denunciados en las Fiscalías Provinciales del Ecuador, siendo la prueba

esencial el peritaje informático esencial en estos casos, pero que no existiendo el tipo

25

penal específico en el Código Penal se origina que la gran mayoría de casos no se

logre el resultado que la víctima espera, puesto que los elementos que concurren

este delito son asimilados a una especie de estafa pero éste tiene sus características

propias y distintas a las ya determinadas en el Código Penal Ecuatoriano.

La investigación es necesaria, con el objetivo de determinar la criminología, la

victimología y conociendo esta realidad determinar las sanciones punitivas

correspondientes que se plasmará en el Anteproyecto de Ley correspondiente.

La trascendencia del delito informático de phishing, se debe a que en la actualidad la

cantidad de usuarios del internet se ha incrementado notablemente lo que ocasiona

que acceden a los distintos sitios y la cantidad de víctimas cada día se incrementan,

quienes siendo afectados por el cometimiento de este delito no sólo que están

perjudicados sino que además punitivamente están en estado de indefensión.

Con el avance tecnológico en la sociedad a nivel mundial, es necesario efectuar el

análisis de las conductas que participan en la participación de este delito informático

del phishing, el cual nuestro país no debe de ser la excepción, porque las

transacciones bancarias en línea cada día son más frecuentes, muchos usuarios

acceden a efectuar estas transacciones con el objetivo de optimizar tiempo y

recursos, por ello es necesario e imprescindible proteger a la sociedad y sancionar a

los ciudadanos que adecuen su conducta a este delito informático de phishing.

26

CAPÍTULO II

MARCO TEÓRICO

2.1.- Antecedentes Investigativos

Una vez realizada una visita a la biblioteca de la Universidad Regional Autónoma de

los Andes “UNIANDES” se puede establecer que no existen trabajos sobre delitos

informáticos en general, mucho más sobre el phishing, una nueva modalidad de

apropiación indebida de recursos.

Serrahima Joaquim, en su obra “La Amenaza Digital” año 2010, Editor Bresca

Editorial. ISBN 8496998258, 9788496998254. Barcelona – España 6, analiza y

previene al mundo sobre una nueva forma de apropiación indebida de los recursos

en red, la tecnología avanza tan acelerada y junto con ello el delito, comparado con

la legislación, ésta última, está muy distinta, está atrasada y no permite procesar,

sancionar, este tipo de delitos. Los países desarrollados han precautelado este tipo

de delitos como es el phishing, que está tipificada en la legislación española, que nos

avisa a aquellos países que aún no despertamos a la tecnología y sus riesgos por la

utilización, el uso y el abuso nos está llevando al delito y es urgente que nuestra

legislación tome correctivos.

2.2. Fundamentación Científica: Esquema de Contenidos.

2.2.1. Legislación y Delitos Informáticos, Otros Tipos de Delitos Informáticos

La Organización de Naciones Unidas (ONU) reconocen los siguientes tipos de delitos

informáticos:

6. SERRAHIMA Joaquim. (2010). “La Amenaza Digital”. Editor Bresca Editorial. ISBN 8496998258, 9788496998254. Barcelona – España

27

1. Fraudes cometidos mediante manipulación de computadoras

Manipulación de los datos de entrada: este tipo de fraude informático conocido

también como sustracción de datos, representa el delito informático más

común ya que es fácil de cometer y difícil de descubrir.

La manipulación de programas: consiste en modificar los programas

existentes en el sistema o en insertar nuevos programas o rutinas. Es muy

difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente

tiene conocimientos técnicos concretos de informática y programación.

Manipulación de los datos de salida: se efectúa fijando un objetivo al

funcionamiento del sistema informático. El ejemplo más común es el fraude

del que se hace objeto a los cajeros automáticos mediante la falsificación de

instrucciones para la computadora en la fase de adquisición de datos.

Fraude efectuado por manipulación informática: aprovecha las repeticiones

automáticas de los procesos de cómputo. Es una técnica especializada que se

denomina "técnica del salchichón" en la que "rodajas muy finas" apenas

perceptibles, de transacciones financieras, se van sacando repetidamente de

una cuenta y se transfieren a otra. Se basa en el principio de que 10,66 es

igual a 10,65 pasando 0,01 centavos a la cuenta del ladrón n veces.

2. Manipulación de los datos de entrada

Como objeto: cuando se alteran datos de los documentos almacenados en

forma computarizada.

Como instrumento: las computadoras pueden utilizarse también para efectuar

falsificaciones de documentos de uso comercial.

28

3. Daños o modificaciones de programas o datos computarizados

Sabotaje informático: es el acto de borrar, suprimir o modificar sin autorización

funciones o datos de computadora con intención de obstaculizar el

funcionamiento normal del sistema.

Acceso no autorizado a servicios y sistemas informáticos: estos acceso se

pueden realizar por diversos motivos, desde la simple curiosidad hasta el

sabotaje o espionaje informático.

Reproducción no autorizada de programas informáticos de protección legal:

esta puede entrañar una pérdida económica sustancial para los propietarios

legítimos. Algunas jurisdicciones han tipificado como delito esta clase de

actividad y la han sometido a sanciones penales. El problema ha alcanzado

dimensiones transnacionales con el tráfico de esas reproducciones no

autorizadas a través de las redes de telecomunicaciones modernas. Al

respecto, se considera, que la reproducción no autorizada de programas

informáticos no es un delito informático debido a que el bien jurídico a tutelar

es la propiedad intelectual.

Adicionalmente a estos tipos de delitos reconocidos, el XV Congreso Internacional de

Derecho ha propuesto todas las formas de conductas lesivas de la que puede ser

objeto la información.

Ellas son:

"Fraude en el campo de la informática.

Falsificación en materia informática.

Sabotaje informático y daños a datos computarizados o programas

informáticos.

Acceso no autorizado.

Intercepción sin autorización.

Reproducción no autorizada de un programa informático protegido.

29

Espionaje informático.

Uso no autorizado de una computadora.

Tráfico de claves informáticas obtenidas por medio ilícito.

Distribución de virus o programas delictivos." 7

Legislar la instigación al delito cometido a través de la computadora. Adherirnos, por

nuestra parte, a los postulados de la ONU sobre los delitos informáticos, con el fin de

unificar la legislación internacional que regule la problemática de la cibernética y su

utilización tan generalizada en el mundo.

Desde la Criminología debemos señalar que el anonimato, sumado a la inexistencia

de una norma que tipifique los delitos señalados, son un factor criminógeno que

favorece la multiplicación de autores que utilicen los medios electrónicos para

cometer delitos a sabiendas que no serán alcanzados por la ley.

No solo debe pensarse en la forma de castigo, sino algo mucho más importante

como lograr probar el delito. Este sigue siendo el principal inconveniente a la hora de

legislar por el carácter intangible de la información.

"Al final, la gente se dará cuenta de que no tiene ningún sentido escribir leyes

específicas para la tecnología. El fraude es el fraude, se realice mediante el correo

postal, el teléfono o Internet. Un delito no es más o menos delito si se utilizó

criptografía (...). Y el chantaje no es mejor o peor si se utilizaron virus informáticos o

fotos comprometedoras, a la antigua usanza. Las buenas leyes son escritas para ser

independientes de la tecnología. En un mundo donde la tecnología avanza mucho

más deprisa que las sesiones del Congreso, eso es lo único que puede funcionar hoy

en día. Mejores y más rápidos mecanismos de legislación, juicios y

sentencias...quizás algún día." 8

7 CARRION, Hugo Daniel. Tesis "Presupuestos para la Punibilidad del Hacking". Julio 2001.

8 SCHNEIER, Bruce. Secrets & Lies.Página 28-29.

30

2.2.2. El Delito del Phishing

2.2.2.1 Origen

Phishing

El término phishing proviene de la palabra inglesa "fishing" (pesca), haciendo alusión

al intento de hacer que los usuarios "muerdan el anzuelo". A quien lo practica se le

llama phisher. También se dice que el término phishing es la contracción

de password harvesting fishing (cosecha y pesca de contraseñas), aunque esto

probablemente es un acrónimo retroactivo, dado que la escritura 'ph es comúnmente

utilizada por hackers para sustituir la f, como raíz de la antigua forma

de hacking telefónico conocida como phreaking.

La primera mención del término phishing data de enero de 1996. Se dio en el grupo

de noticias de hackers alt.2600, aunque es posible que el término ya hubiera

aparecido anteriormente en la edición impresa del boletín de noticias hacker 2600

Magazine. El término phishing fue adoptado por quienes intentaban "pescar" cuentas

de miembros de AOL.

El phishing es una técnica de ingeniería social utilizada por los delincuentes para

obtener información confidencial como nombres de usuario, contraseñas y detalles

de tarjetas de crédito haciéndose pasar por una comunicación confiable y legítima.

El escenario de Phishing generalmente está asociado con la capacidad de duplicar

una página web para hacer creer al visitante que se encuentra en el sitio web

original, en lugar del falso. El engaño suele llevarse a cabo a través de

correoelectrónico y, a menudo estos correos contienen enlaces a un sitio web falso

con una apariencia casi idéntica a un sitio legítimo. Una vez en el sitio falso, los

usuarios incautos son engañados para que ingresen sus datos confidenciales, lo que

le proporciona a los delincuentes un amplio margen para realizar estafas y fraudes

con la información obtenida.

http://es.wikipedia.org/wiki/Idioma_ingl%C3%A9s

http://es.wikipedia.org/wiki/Contrase%C3%B1a

http://es.wikipedia.org/wiki/Retroacr%C3%B3nimo

http://es.wikipedia.org/wiki/Phreaking

http://es.wikipedia.org/wiki/1996

http://es.wikipedia.org/wiki/Grupo_de_noticias

http://es.wikipedia.org/wiki/Grupo_de_noticias

http://es.wikipedia.org/wiki/Hacker

http://es.wikipedia.org/wiki/AOL

31

La principal manera de llevar adelante el engaño es a través del envío de spam

(correo no deseado) e invitando al usuario a acceder a la página señuelo. El objetivo

del engaño es adquirir información confidencial del usuario como contraseñas,

tarjetas de crédito o datos financieros y bancarios. A menudo, estos correos llegan a

la bandeja de entrada, disfrazados como procedentes de departamentos de recursos

humanos o tecnología o de áreas comerciales relacionadas a transacciones

financieras.

Otra forma de propagación, menos común, pueden ser el fax y los mensajes SMS a

través del teléfono móvil. En algunos casos se proclamen grandes premios y

descuentos en la venta de productos. También se debe destacar que el destinatario

de los mensajes es genérico y los mensajes son enviados en forma masiva para

alcanzar una alta cantidad de usuarios, sabiendo que un porcentaje (aunque sea

mínimo) caerá en la trampa e ingresará al sitio falso, donde se le robará la

información.

Algunas de las características más comunes que presentan este tipo de

mensajes de correo electrónico son:

Uso de nombres de compañías ya existentes. En lugar de crear desde cero el

sitio web de una compañía ficticia, los emisores de correos con intenciones

fraudulentas adoptan la imagen corporativa y funcionalidad del sitio de web de

una empresa existente, con el fin de confundir aún más al receptor del

mensaje.

Utilizar el nombre de un empleado real de una empresa como remitente del

correo falso. De esta manera, si el receptor intenta confirmar la veracidad del

correo llamando a la compañía, desde ésta le podrán confirmar que la persona

que dice hablar en nombre de la empresa trabaja en la misma.

Direcciones web con la apariencia correcta. Como hemos visto, el correo

fraudulento suele conducir al lector hacia sitios web que replican el aspecto de

32

la empresa que está siendo utilizada para robar la información. En realidad,

tanto los contenidos como la dirección web (URL) son falsos y se limitan a

imitar los contenidos reales. Incluso la información legal y otros enlaces no

vitales pueden redirigir al confiado usuario a la página web real.

Factor miedo. La ventana de oportunidad de los defraudadores es muy breve,

ya que una vez se informa a la compañía de que sus clientes están siendo

objeto de este tipo de prácticas, el servidor que aloja al sitio web fraudulento y

sirve para la recogida de información se cierra en el intervalo de unos pocos

días. Por lo tanto, es fundamental para el defraudador el conseguir una

respuesta inmediata por parte del usuario. En muchos casos, el mejor

incentivo es amenazar con una pérdida, ya sea económica o de la propia

cuenta existente, si no se siguen las instrucciones indicadas en el correo

recibido, y que usualmente están relacionadas con nuevas medidas de

seguridad recomendadas por la entidad.

2.2.2.2 Tipos de Phishing

El Instituto Nacional de Tecnologías de la Comunicación (INTECO) de España hace

un estudio sobre la práctica fraudulenta conocida como phishing, sobre usuarios,

entidades públicas y privadas afectadas por la práctica fraudulenta de este delito,

estudio publicado en Octubre de 2007, en el cual nos da un análisis sobre los tipos

de phishing, y sus fases evolutivas para su realización:

La rapidez de evolución de este tipo de delitos complica también la tarea de realizar

un análisis exhaustivo de todas las variantes que se pueden incluir bajo esta

denominación común, más aún si tenemos en cuenta que, a menudo, se lanzan

ataques combinados que implican el concurso de varias de las técnicas que

pretendemos exponer.

33

Lógicamente, no existe una única clasificación de los delitos de phishing. Una de las

más acertadas proporciona las distintas “fotografías” del modus operandi de estos

delincuentes, describiendo seis tipos de phishing:

1.- Phishing engañoso – Deceptive Phishing

Esta es la forma primitiva de phishing. Aunque en sus inicios (cuando el objetivo

básico era la captura de cuentas de AOL) la herramienta de comunicación utilizada

eran las aplicaciones de mensajería instantánea, en la actualidad la forma más

habitual de desarrollar este tipo de delito (o al menos de iniciarlo) es mediante el

correo electrónico. Precisamente, un típico ataque de esta variedad de phishing

comienza cuando el phisher envía un correo electrónico falso.

Observatorio de la Seguridad de la Información

La dirección IP está formada por una serie numérica de cuatro grupos entre 0 y 255

separados por puntos y que identifica un ordenador conectado a Internet.

Obviamente, este sistema no se utiliza para la navegación por las dificultades que

supondría recordar esta serie de memoria. En su lugar, el DNS (Domain Name

System o Sistema de Nombres de Dominio) traduce esos números a direcciones

web, tal y como normalmente las utilizamos en los navegadores, que son fáciles de

reconocer y recordar.

El procedimiento es relativamente sencillo. Consiste, básicamente, en el envío,

generalmente masivo, de un correo electrónico en el que es suplantada una empresa

o institución legítima y de confianza para el receptor, por lo que este atendiendo una

“llamada a la acción” incluida en dicha comunicación electrónica pulsará en el enlace

contenido en el correo electrónico siendo desviado, de manera inconsciente, a un

sitio web fraudulento.

Estudio sobre la Práctica Fraudulenta conocida como Phishing (INTECO)

34

Los ejemplos de llamada a la acción son muy diversos: desde la existencia de algún

tipo de problema en la cuenta bancaria del destinatario, invitándole a entrar en algún

sitio web para subsanarlo, la comunicación de algún tipo de riesgo por fraude, un

aviso ficticio de compra acompañado de un enlace (link) cuyo destino es la página en

la que puede cancelarse, la comunicación de un cambio no autorizado en la cuenta

corriente del destinatario, etc.

En cualquiera de estos casos, el paso siguiente siempre es similar. Los destinatarios

que son víctimas del engaño, acceden a un sitio web en el que se les requiere todo

tipo de información confidencial para “subsanar” el problema que se les había

comunicado previamente. Una vez recogidos esos datos, el phisher ya está en

condiciones de realizar el fraude que previamente había planeado.

La variedad en este sentido también es muy amplia: desde la simple venta de esos

datos para que otro realice el fraude a la transferencia de fondos de la cuenta

bancaria del destinatario, la solicitud de una hipoteca en su nombre, la realización de

compras por Internet, etc.

Dentro de esta tipología de phishing existen también distintas variantes. Una de ellas,

relativamente común, es enviar mensajes de correo electrónico que, a través de

HTML, replican con más o menos precisión la pantalla de autenticación de la entidad

a la que están suplantando, evitando, de esta forma, que el usuario tenga que pulsar

un link y utilizar el navegador web para realizar la acción. Mediante esta técnica se

hace más difícil que el destinatario detecte el engaño.

No obstante, para evitar este último detalle que puede dar al traste con la estafa, los

delincuentes utilizan distintas técnicas para ocultar la dirección web en la que están

navegando atentos, en todo momento, a los objetivos del timo. Las técnicas

comprenden desde el uso de la dirección IP numérica en lugar del nombre de


35

dominio23, al uso de pequeñas rutinas realizadas mediante lenguaje de

programación (ej. en JavaScript) que esconden la barra de direcciones del

navegador, pasando por el uso de lo que se denomina el “ataque de un dominio

primo”, esto es, el registro de un nombre de dominio similar al de la organización a la

que se está suplantando para realizar la estafa (por ejemplo,

“www.entidadfinanci.era.es” en lugar de “www.entidadfinanciera.es”.

Otra variante dentro del ataque a través de correo electrónico consiste en mensajes

tengan como finalidad la instalación de algún tipo de software malicioso. Este se

ejecutaría en el ordenador del destinatario cuando este ingresa en el sitio web falso y

confunda, de alguna forma, al usuario. No obstante, esta categoría entraría dentro

del siguiente tipo de phishing, que se analizará seguidamente.

Conviene realizar un análisis más pormenorizado de la naturaleza de estos

mensajes, con el objeto de identificar los rasgos que los caracterizan:

a) Suplantación de empresas con buena reputación para conseguir la necesaria

confianza de sus víctimas.

Utilizan la imagen de la compañía (logotipo, colores, tipos de letra…).

Introducen enlaces al sitio web legítimo de la compañía junto al enlace

fraudulento para confundir a los potenciales estafados.

El correo electrónico parece proceder de la compañía suplantada.

b) La dirección de respuesta es diferente de la identidad que hace el envío.


36

c) Crean un motivo plausible: la imaginación de los delincuentes es prolija, pero,

básicamente, existen tres fuentes principales de estímulo:

el miedo (a ser objeto de un fraude)

la codicia (la posibilidad de aprovechar una buena oportunidad)

la curiosidad (acceder a algún contenido novedoso).

d) Requieren respuesta rápida: el fraude no puede prolongarse mucho tiempo.

e) Recolección de información vía correo electrónico (cada vez menos habitual).

f) Enlaces a dominios con nombres o grafías similares al del dominio legítimo.

g) El texto del enlace (link) en el correo electrónico difiere del enlace (link) de destino.

También es interesante analizar la segunda parte del engaño que, de forma más

habitual, utiliza un sitio web como cebo. Las principales argucias utilizadas por este

tipo de estafadores en los sitios web fraudulentos son:

En ocasiones los estafadores programan sus webs de tal forma que si el usuario

utiliza un navegador que no tiene la vulnerabilidad que se pretende explotar,

redireccionan al usuario a la web legítima, evitando ser descubiertos.

Camuflarse a la hora de suplantar la web legítima de la compañía. Incluso, muchos

sitios web fraudulentos simulan el proceso de envío de los datos, tal y como

sucedería en la versión legítima, y redireccionan al usuario a la página de la empresa

suplantada una vez que los datos han sido facilitados. De esta manera las víctimas

no saben que han sido objeto de un fraude.


37

Uso de certificados SSL falsos: una URL que comienza con el protocolo “https://”, en

lugar de “http://”, indica que la información está siendo transmitida a través de una

conexión segura y que la compañía está provista de un certificado Secure Sockets

Layer (SSL). Algunos sitios web fraudulentos utilizan este protocolo y suele

combinarse con la utilización de direcciones IP en lugar de la URL habitual.

Curiosamente, los navegadores suelen desplegar mensajes en los que se avisa al

usuario de que el certificado es inválido o que no coincide con el nombre del sitio. Sin

embargo, la mayoría de usuarios suelen ignorar estos mensajes, pensando que es

un error de su navegador y caen en la trampa.

Uso de una barra de dirección falsa, que puede contener la dirección legítima del

sitio, pero sin ningún efecto sobre la web que se está visitando.

Uso de ventanas emergentes: el sitio fraudulento redirecciona al usuario a la web

real de la institución suplantada y, simultáneamente, despliega una ventana,

fraudulenta, que solicita y recoge los datos. Por ello, resulta de gran utilidad activar

los bloqueadores de pop-ups que incorporan la mayoría de los navegadores

actuales.

Deshabilita el botón derecho del ratón, el cual, despliega un menú que permite, entre

otras cuestiones, verificar las propiedades de las web visitada. Introducir mensajes

para evitar que el usuario entre en la web suplantada, obteniendo así el tiempo

suficiente para completar el fraude. Los delincuentes más avanzados

tecnológicamente utilizan aplicaciones software para bloquear el acceso del usuario

(al menos desde el ordenador infectado) al sistema.

Estos son algunos de los ardides más utilizados por estos estafadores. Sin embargo,

continuamente aparecen nuevas herramientas orientadas a mejorar las tácticas de la

estafa, así como nuevos y más imaginativos argumentos para confundir al usuario.


38

Como hemos podido comprobar este tipo de phishing basa su éxito

fundamentalmente en las técnicas de ingeniería social, es decir, el papel del

destinatario del fraude es fundamental: sin su “cooperación” no hay posibilidad de

éxito.

Dentro de este primer tipo de phishing deben incluirse dos variantes que se

diferencian por el medio de comunicación que es utilizado para iniciar la estafa: el

Vishing y el Smishing.

El vishing utiliza el teléfono como herramienta. Se basa en el uso de un tipo de

software denominado “war dialers” cuya función es realizar la marcación de teléfonos

desde un ordenador, utilizando la tecnología de telefonía sobre IP. Una vez que el

usuario atacado descuelga se activa una grabación que trata de convencerle o bien

de que visite un sitio web para dar sus datos personales o bien de que directamente

“confirme” sus datos en la misma llamada. El verdadero problema de este tipo de

ataques es la confianza que la población tiene en el teléfono y en el uso que

tradicionalmente han hecho de él las empresas legítimas.

El smishing, del mismo modo, trata de embaucar a los usuarios, pero esta vez a

través de mensajes de texto a móviles. El primer caso se dio en China: “un

ciudadano de Pekín, recibió un mensaje en su móvil informándole que el banco le

había cargado la compra de objetos valorados en más de 2.000 euros. El mensaje

adjuntaba un número de teléfono al que llamar. Una vez hecho, una voz grabada le

pidió los datos de su cuenta. Horas después la habían vaciado”.

Este phishing telefónico ya ha evolucionado desde ese primer caso. En estos

momentos, el mensaje (SMS) que recibe la víctima le informa que alguien le ha dado

de alta en algún servicio de pago para recibir, por ejemplo, determinados contenidos.

Si la víctima desea darse de baja, deberá hacerlo a través de una web, en la cual

una vez haya accedido, se le instalará un software de captura de datos.

39

El problema de esta técnica es que el envío de SMS resulta relativamente caro, lo

que limita las posibilidades de actuación de los delincuentes, si bien es cierto que se

han anunciado ya formas de conseguir, a través de malware, que sean otros los que

corran con estos costes, lo que sin duda puede ser un indicio claro de su posible

propagación.

2.- Phishing basado en software malicioso – Malware-Based Phishing

Con este tipo de phishing nos referimos de forma general a cualquier variante de

este delito que implique la ejecución de un software malicioso en el ordenador de la

víctima.

La propagación de este tipo de phishing puede depender tanto de las técnicas de

ingeniería social como de la explotación de una vulnerabilidad del sistema. En el

primero de los casos, el ataque debe conseguir, como paso previo, que el usuario

realice alguna acción que permita la ejecución del malware en su máquina: abrir el

archivo adjunto de un correo electrónico, visitar una web y descargar el programa.

Las técnicas sociales para conseguir que el usuario actúe de este modo son, al igual

que en el caso anterior, muy diversas, si bien este método suele inclinarse más por la

promesa de algún contenido llamativo para el destinatario.

En lo que se refiere a la explotación de vulnerabilidades del sistema, la amenaza es

mucho más difícil de combatir, ya que existen variantes en las que la actuación del

usuario es mucho menor. Así, aunque muchas de las estafas se basan en que sea el

usuario el que, de una u otra manera, introduzca la aplicación en su máquina,

también es posible que los delincuentes aprovechen fallos en la seguridad del

sistema de un sitio web legítimo para introducir software malicioso que les permita

llevar a cabo su objetivo.


40

Con independencia de cuál sea la técnica empleada para conseguir la ejecución del

código malicioso en el ordenador personal del atacado, podemos distinguir distintos

tipos de programas diseñados para robar datos confidenciales:

Keyloggers y Screenloggers. Los keyloggers son programas cuya función es el

registro de las pulsaciones que se realizan en el teclado. La aplicación en el ámbito

del phishing es evidente: estas aplicaciones suelen estar programadas para ponerse

en funcionamiento cuando la máquina en la que están instaladas accede a alguna

web registrada por el programa (entidad financiera, subasta online). En ese

momento, graba todo lo que se teclea en el ordenador y, posteriormente, lo envía al

delincuente que de esta forma consigue su propósito de robar información

confidencial.

Existen versiones más avanzadas que también capturan los movimientos de ratón.

Algunas entidades, conscientes de la existencia de este tipo de programas y de su

posible aplicación delictiva han introducido contramedidas como la disposición de

teclados en pantalla para evitar las pulsaciones de teclado en la introducción de

contraseñas.

Los screenloggers realizan la misma función pero, en lugar de capturar pulsaciones

de teclado, capturan imágenes de la pantalla que son remitidos al atacante.

Secuestradores de sesión (Session Hijackers). Este tipo de aplicaciones operan una

vez que el usuario ha accedido a alguna web registrada por el software, esto es, no

roba datos, sino que directamente actúa cuando la victima ya ha accedido a su

cuenta corriente su sesión en una subasta. Estos programas suelen ir “disfrazados”

como un componente del propio navegador. Esta forma de phishing puede realizarse


41

tanto mediante la instalación del malware en el ordenador del destinatario de la

estafa, como mediante la técnica del “man in the middle” o intermediario.

Troyanos web (web Trojans). Son programas maliciosos que aparecen

inesperadamente, en forma de ventanas emergentes, sobre las pantallas de

validación de páginas web legítimas, con el objetivo de conseguir datos

confidenciales. En este caso, la finalidad que persiguen es hacer creer al usuario que

está introduciendo la información en el sitio web real, cuando en realidad lo que está

haciendo es introducirlo en este software que, posteriormente, remite los datos al

delincuente, con las consabidas consecuencias. El phishing parece la aplicación

“natural” de este tipo de programas fraudulentos.

Ataques de reconfiguración de sistema (System Reconfiguration Attacks). Este

tipo de ataques se efectúan a través de la modificación de los parámetros de

configuración del ordenador del usuario. Existen diversas formas de realizar estas

acciones. Una de ellas consiste en modificar el sistema de nombres de dominio, tal

como se explicaba en el caso anterior. Otra posibilidad al alcance de los delincuentes

es la instalación de lo que se denomina un “proxy”, a través del cuál se canalice toda

la información que sale y entra de la máquina del usuario. Esta forma de ataque se

corresponde también con la técnica del “man in the middle” (MitM).

Robo de datos (Data Theft). También existen códigos maliciosos cuya finalidad

consiste en recabar información confidencial almacenada dentro de la máquina en la

que se instalan y remitirla al delincuente (direcciones, números de identidad, claves).

3.- Phishing basado en el DNS o “Pharming” (DNS-Based Phishing)

Dentro de esta rúbrica se incluyen todas aquellas formas de phishing que se basan


42

en la interferencia del proceso de búsqueda del nombre de dominio (la traducción de

la dirección introducida en el navegador a la dirección IP). Sin duda, el pharming,

denominación habitual de esta forma de llevar a cabo este tipo de delito, supone un

peligro aún mayor que algunas de las otras variantes que se han analizado, ya que la

colaboración de la víctima es menor y, además, el disfraz empleado por los

delincuentes parece más real.

Como se señalaba al hablar de ciertos tipos de código malicioso, cuando un usuario

navega por la Red recurre a la utilización de direcciones URL, relativamente fáciles

de recordar (por ejemplo, www.inteco.es). Sin embargo, estas direcciones tienen que

ser traducidas a lo que se denominan direcciones IP. Esa traducción se realiza, en

los sistemas operativos de diversas formas. Por un lado, existen los denominados

Servidores de Nombres de Dominio (Domain Name Server o DNS) que cumplen

explícitamente esta función. Cuando un usuario desea acceder a un sitio web envía

una petición a uno de estos servidores que transforman la URL introducida en la

barra de direcciones del navegador en la dirección IP. El proceso es transparente

para el usuario.

Otra forma de llevar a cabo esa transformación es mediante el fichero hosts. Este

fichero -incluido en el sistema operativo, almacena la información de las páginas que

el usuario ya ha visitado- con el fin de evitar la consulta al servidor DNS y acelerar el

proceso. Además, en esta misma línea, la memoria caché del navegador también

conserva información de las webs visitadas, siempre con el fin de reducir el tiempo

de respuesta para la navegación.

4.- Phishing mediante introducción de contenidos (Content-Injection Phishing).

Esta modalidad consiste en introducir contenido malicioso dentro de un sitio web

legítimo. Dicho contenido puede tener diversas modalidades: redirigir a los visitantes

a otra página, instalar algún tipo de malware en el ordenador de los usuarios, etc.


43

Básicamente, existen tres categorías principales de phishing mediante introducción

de contenidos, a partir de las cuales surgen un número indefinido de variantes:

Asalto al servidor legítimo por parte de hackers que se aprovechen de una

vulnerabilidad para modificar o introducir contenido malicioso en el sitio web.

Introducción de contenido malicioso en el sitio a través de lo que se denomina una

vulnerabilidad de “cross-site scripting”, también conocido como XSS. El cross-site

scripting es una vulnerabilidad que aprovecha la falta de mecanismos de filtrado en

los campos de entrada y permiten el ingreso y envío de datos sin validación alguna,

aceptando el envió de scripts completos, pudiendo generar secuencias de comandos

maliciosas que impacten directamente en el sitio o en el equipo de un usuario.

Este tipo de vulnerabilidad puede afectar tanto a la aplicación web como a los

usuarios que activen esa secuencia de comandos de forma involuntaria.

• Acciones maliciosas que pueden ser llevadas a cabo en un sitio a través de una

vulnerabilidad de introducción de SQL (SQL injection vulnerability). Esta es una

forma de provocar que sean ejecutados comandos de bases de datos en un servidor

remoto que conlleven la filtración de datos confidenciales. Al igual que en el caso

anterior, esta vulnerabilidad se debe a la ausencia de filtros adecuados en el servidor

que impiden dicha ejecución.

5.- Phishing mediante la técnica del intermediario (Man-in-the-middle Phishing

o MitM)

Aunque en muchas de las clasificaciones consultadas se considera ésta como una

categoría dentro de los tipos de phishing, en realidad se trata de una técnica para

efectuar el ataque. Como su propia denominación indica, implica el posicionamiento

del phisher entre el ordenador del usuario y el servidor web legítimo. De este modo el

delincuente se hace con la capacidad de filtrar, leer, e incluso modificar la

44

información que se transfiere desde el puesto del atacado al servidor y viceversa, sin

que las partes sean conscientes de la violación de su seguridad.

Las consecuencias de esta actuación pueden ser tanto el robo de información

confidencial, para su uso o venta posterior, o, directamente, el secuestro de la sesión

(session hijacking), en cuyo caso podrá o no robar esa información. Nuevamente, el

problema de esta variante es que el usuario no puede detectar que está siendo

víctima de un delito ya que, aparentemente, todo funciona de forma correcta.

La utilización de esta técnica para desarrollar distintos tipos de phishing admite

diferentes modalidades. Ya se comentaron los ataques tipo proxy, que son los que

más habitualmente se realizan a través de este procedimiento. Sin embargo otras

variedades pueden llevarse a cabo utilizando tipos como el ataque basado en DNS y

basado en el engaño, categorías también analizadas con anterioridad.

6.- Phishing de motor de búsqueda (Search Engine Phishing)

Nuevamente más que un tipo de phishing es, en sí mismo, uno de los ardides

empleados por los delincuentes para hacer que el usuario caiga en su trampa.

Losdelincuentes crean páginas web para productos o servicios falsos, las introducen

en los índices de los motores de búsqueda y esperan a que los usuarios visiten las

páginas para realizar compras y, por tanto, proporcionen información confidencial o

directamente realicen transferencias bancarias.

Normalmente las falsas ofertas tienen condiciones sensiblemente mejores a las

ofrecidas por empresas legítimas, con el objetivo de atraer al máximo número de

víctimas posible.

En este ámbito han tenido mucho éxito los fraudes en los que los phishers se han

hecho pasar por bancos que ofrecen tipos de interés muy superiores a los ofrecidos

por las entidades financieras reales. Las víctimas encuentran estos falsos bancos


45

online a través de buscadores y, ante tal oferta, no dudan en abrir una nueva cuenta

e introducir sus datos bancarios para realizar una transferencia.

La clasificación presentada (como se reconoce en su introducción y como se ha ido

mostrando en su descripción), adolece de algunos defectos, entre los que destaca la

falta de criterio de distinción entre unos tipos de delito y otros, y la existencia de

zonas comunes entre las categorías consideradas. Sin embargo, también se ha de

reconocer una virtud importante: la descripción prácticamente exhaustiva de

variantes de phishing.

2.2.2.3. Clasificación del Phishing según la participación de la víctima y la

complejidad de la Tecnología de la Estafa

La clasificación del Phishing, según la participación de la víctima y la complejidad de

la Tecnología de la Esafa, es una visión del tipo de problemas al que los usuarios se

enfrentan y, por lo que se propone los criterios útiles en el ámbito de la propuesta de

medidas para atajar estas actividades, en donde se distinguen tres niveles de

colaboración por parte del usuario:

Alto, Medio, Bajo.

En lo que se refiere a la complejidad tecnológica, lógicamente, cuanto mayor es ésta

menos necesaria es la participación de la víctima para llevar a cabo la estafa. Así,

encontramos una relación directa entre ambos criterios, reflejado en el Anexo 9.

Se observa cómo la mayor parte de los casos se encuentran en los cuadrantes que

formarían la diagonal secundaria del esquema, esto es, las combinaciones inversas

entre los dos factores considerados y el punto intermedio tanto de complejidad

tecnológica como de “colaboración” del estafado. Sólo hay un caso que se considera

que se aleja de esta pauta: el phishing de motor de búsqueda. En este caso, la


46

implicación del usuario es relativamente alta.

Se observa cómo la mayor parte de los casos se encuentran en los cuadrantes que

formarían la diagonal secundaria del esquema, esto es, las combinaciones inversas

entre los dos factores considerados y el punto intermedio tanto de complejidad

tecnológica como de “colaboración” del estafado. Sólo hay un caso que se considera

que se aleja de esta pauta: el phishing de motor de búsqueda. En este caso, la

implicación del usuario es relativamente alta.

2.2.2.4. Fases del Phishing

Diversas investigaciones han observado la existencia de un conjunto de pautas más

o menos estable en los ataques realizados por este tipo de delincuentes. El análisis

de estas etapas puede constituir una valiosa información en la lucha contra los

phishers.

La existencia de distintas variantes de esta estafa implica que, en muchas ocasiones,

las fases pueden cambiar en cuanto a su profundidad, extensión y dificultad, al igual

que respecto a los agentes que deben intervenir y cuál es el papel que deben jugar.

Seis son las fases principales que se completan en todo ataque de phishing

1. PLANIFICACIÓN.

Durante esta etapa, el phisher, toma las principales decisiones que va a llevar

a cabo: a quién va dirigido el ataque, cómo y dónde se va a realizar, qué tipo

de argucia se va a utilizar, cuál es el objetivo del fraude, qué medios

necesitará para hacerlo, etc. Obviamente, esta etapa es común a cualquiera

de los tipos de phishing analizados.

Se puede hacer una división de las tareas que se llevan a cabo en este primer


47

estadio del fraude y reflexionar sobre quiénes son los implicados y cuál es su

papel, teniendo en cuenta la clasificación de los tipos de phishing que se

propuso con anterioridad, según el contenido tecnológico y el nivel necesario

de participación de la víctima.

En el Anexo 10 se distinguen quiénes son los principales implicados en la

realización de las tareas y qué tareas han de desarrollarse. Se diferencian

entre tareas comunes a los tres tipos de phishing y actividades específicas.

2. PREPARACIÓN.

Los delincuentes deben conseguir el software, los datos de contacto, localizar

los destinos de sus ataques, preparar sus equipos, construir los sitios web

diseñados para efectuar el fraude y otras tareas, teniendo en cuenta las

necesidades de cada tipo de delito que sí son diferentes, tal y como se apuntó

al describir la fase de planificación.

En ocasiones, los delincuentes realizan ataques muy localizados dirigidos a

personas u organizaciones muy concretas, lo que requiere el envío de correos

mucho más elaborados que los que se utilizan en envíos masivos. Lo

interesante de este tipo de ataques es su estudiada segmentación en la

búsqueda de objetivos y preparación del engaño.

Si bien, en general, no existen grandes diferencias entre los tipos de phishing,

estas sí pueden apreciarse cuando se analizan tareas de creación y

consecución de cada uno de ellos, como se aprecia en el Anexo 11.

3. ATAQUE

En este momento, las estafas que implican una participación “media” o “alta”


48

de las víctimas requieren de su concurso, ya que acciones como abrir un

correo electrónico, visitar una página web o realizar una búsqueda, son

acciones necesarias para que el ataque se consuma.

Tal como se establece en el Anexo 12, en el primer caso el ataque se centra

en el servidor de la empresa o institución objetivo, mientras que en los otros

dos tipos se trata de comunicar o preparar las trampas para las víctimas,

utilizando distintos medios

4. RECOLECCIÓN

La fase de recogida de datos se anticipó esta fase en la descripción de la

etapa anterior para el tipo de delito que implica niveles medios de complejidad

y “colaboración”. Los otros dos tipos restantes implican la espera de víctimas

que entren en el servidor atacado, que respondan al mensaje enviado o que

visiten la web fraudulenta. Adicionalmente, en el caso de ataque a un servidor,

normalmente una vez instalado el código en la fase anterior es necesaria su

ejecución para conseguir los datos, tarea más propia de esta fase. (Anexo 13)

5. FRAUDE

Una vez recogidos los datos, el siguiente paso efectuado por los delincuentes

es la realización de la estafa, bien de forma directa o bien vendiendo los datos

robados para que otros estafadores consuman el delito.

En el Anexo 14 se recogen, como en casos anteriores, los implicados y las

tareas que, en este caso, son comunes a los tres tipos de delito, con alguna

excepción. La variedad en esta ocasión dependerá de los datos apropiados

ilegalmente.


49

6. POST-ATAQUE

La última fase, denominada de post-ataque, como se aprecia en el Anexo 15,

tendría para el delincuente la finalidad de eliminar las pistas que hayan

quedado. En este sentido, todos los implicados en el ataque pueden ser

susceptibles de participar en el proceso.

2.2.2.5 Definiciones

Se tratará de exponer algunas definiciones de los Delitos informáticos dados a

conocer por algunos medios y autores.

Luciano Salellas y Argibay Molina, expresan, que los Delitos informáticos son todas

aquellas conductas ilícitas susceptibles de ser sancionadas por el derecho penal, que

hacen uso indebido de cualquier medio Informático. 9

Según Lic. Marta Valdés Domínguez, Casa Consultora DISAIC, podemos definir los

delitos informáticos como acciones u omisiones antijurídicas, socialmente

peligrosas, directamente vinculadas al uso de las tecnologías de la información y las

comunicaciones (TIC) y susceptibles de ser sancionadas penalmente, que se

caracterizan por el uso indebido el sistema informático como objeto o medio para la

comisión del hecho delictivo. 10

En las condiciones actuales se hace prácticamente imposible determinar el

verdadero alcance de este tipo de conducta generalmente conocida como"delitos

informáticos" o "delito electrónico". Las causas son diversas, pero podemos

mencionar algunas entre las que se encuentran las siguientes:

No existe una adecuada preparación para abordar el tratamiento jurídico.

9. Salellas Luciano. – "Delitos informáticos – Ciberterrorismo"

10. Valdés Domínguez. "Criminalidad Informática, un fenómeno de fin de siglo"

50

Muchos de estos delitos no son descubiertos.

No existen aún leyes que protejan a las víctimas.

Muchas empresas no se atreven a denunciar estos hechos por temor a sus

posibles consecuencias negativas.

Como parte de las acciones que se han venido tomando en el ámbito

internacional para dar los primeros pasos en la compleja pero indispensable

tarea de establecer regulaciones al Ciberespacio, las Naciones Unidas han

reconocido un grupo de conductas ilícitas dentro de los llamados delitos

informáticos, las que pasaremos a detallar a continuación:

· Fraudes

Este grupo de conductas incluye la manipulación de datos de entrada y salida así

como la manipulación de programas. Este es uno de los delitos más difíciles de

detectar. Una de las acciones más comunes la constituye la manipulación de datos

de entrada conocida también como "sustracción de datos". Su autor no requiere de

conocimientos técnicos especializados para realizarla y solo tener acceso a las

funciones normales de procesamiento de datos en tanto que la manipulación de

programas sí requiere que el comisor posea determinados conocimientos en

informática ya que esta acción consiste en modificar los programas existentes en el

sistema de computadoras o insertar nuevos programas o rutinas.

· Falsificación

En este caso puede ser como objeto o como instrumento. El primero se produce

cuando se alteran datos de los documentos almacenados en la computadora ó

servidores; el segundo es cuando se utilizan las computadoras para efectuar

falsificaciones de documentos comerciales. Por medio de las fotocopiadoras

computarizadas en color a partir de rayos láser surgió la posibilidad de una nueva

51

variante de falsificaciones o alteraciones fraudulentas ya que con aquellas se

pueden modificar documentos o crear documentos falsos sin tener que recurrir a un

original y su calidad es tal que sólo un experto puede diferenciarlos de los

documentos auténticos.

· Daños y Modificaciones de Programas y Bases Datos.

Estos daños se refieren a borrar, suprimir o modificar sin autorización funciones o

datos de computadora con el propósito de obstaculizar el funcionamiento normal del

sistema por lo que podemos considerar que estas conductas son de carácter

intencional y para alcanzar su objetivo emplean las siguientes técnicas entre las que

podemos mencionar: los virus, gusanos, bombas lógicas o cronológicas, el acceso

no autorizado a servicios o sistemas, los piratas informáticos o hackers y la

reproducción no autorizada de programas informáticos de protección legal.

El Convenio de Cyber-delincuencia del Consejo de Europa 11, define a los delitos

informáticos como “los actos dirigidos contra la confidencialidad, la integridad y la

disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el

abuso de dichos sistemas redes y datos”

Conviene destacar entonces, que diferentes autores y organismos han manifestado

diferentes apreciaciones para señalar las conductas ilícitas en las que se utiliza la

computadora, esto es “delitos informáticos”, “delitos electrónicos”, “delitos

relacionados con la computadora”, “crímenes por computadora”, “delincuencia

relacionada con el computador”. Tal como podemos notar en las definiciones

establecidas por autores anteriores, no existe una definición de carácter universal

propia de delito informático.

11. Convenio de Cyber-delincuencia del Consejo de Europa Estados miembros del Consejo de

Europa y otros Estados – Budapest 2001

52

Es preciso señalar que la última definición brindada por el Convenio de Cyber-

delincuencia del Consejo de Europa 12 anota especial cuidado en los pilares de la

seguridad de la información: la confidencialidad, integridad y disponibilidad.

El delito informático involucra acciones criminales que en primera instancia los

países han tratado de poner en figuras típicas, tales como: robo, fraudes,

falsificaciones, estafa, sabotaje, entre otros, por ello, es primordial mencionar que el

uso indebido de las computadoras es lo que ha creado la necesidad imperante de

establecer regulaciones por parte de la legislación.

2.2.3. Criminología del Phishing

2.2.3.1 El Ciberterrorismo.

En los años 80, Barry Collin, un investigador senior del Institute for Security and

Intelligence en California acuñó el término cyberterrorism para referirse a "la

convergencia del ciberespacio con el terrorismo"13. Mark Pollit, un agente del FBI que

se dedicó a estudiar el tema, desarrolló la siguiente definición operativa: "El

ciberterrorismo es el ataque premeditado y políticamente motivado contra

información, sistemas computacionales, programas de computadoras y datos que

puedan resultar en violencia contra objetivos no combatientes por parte de grupos

subnacionales o agentes clandestinos".

Ataques que deriven en muertes o personas heridas, explosiones, colisiones de

aviones, contaminación de agua o severas pérdidas económicas pueden ser

ejemplos válidos. Serios ataques contra la infraestructura crítica de un país podrían

ser actos de ciberterrorismo, dependiendo de su impacto. Los ataques que

interrumpen servicios no esenciales o que son básicamente una molestia costosa no

12. Carlo Sarzana Criminalitá e Tecnología en Computer Crime Rasaggna Penitenziaria e Criminalitá – Roma 1979.

13. En el siguiente sitio se pueden leer algunas declaraciones de Barry Collin: http://www.af.mil/news/Feb1998/n19980206_980156.html

53

entran en esta categoría". 14 Esa definición de Denning es la que se decidió adoptar

con fines operativos para esta tesis. Por lo tanto, en el presente trabajo quedan

excluidas del concepto de ciberterrorismo las siguientes prácticas:

• El hackeo de sitios web y la modificación de sus contenidos.

Los “ataques de negación de servicio”, destinados a paralizar durante unas horas las

operaciones de un sitio, aunque sin causarle daño alguno.

La intromisión no autorizada en redes privadas o gubernamentales, aún cuando esas

intromisiones se produzcan en organismos vinculados a la seguridad, como el

Pentágono, el FBI o la Fuerza Aérea.

• La intromisones en redes con propósitos delictivos: espionaje industrial, robo de

bases de datos, robo de números de tarjetas de crédito, etcétera. Estas prácticas se

podrían incluir en la categoría de ciberdelito (cybercrime).

• La diseminación de virus informáticos.

• La saturación deliberada de casillas de e-mail (e-mail bombs).

• La utilización de Internet por grupos terroristas con fines informativos o doctrinarios.

2.2.3.2 La Falsificación Electrónica

El Dr. Juan Vizueta Ronquillo, nos indica en su obra “DELITOS INFORMÁTICOS EN

EL ECUADOR”, respecto a la Falsificación Electrónica, incorporada en el Art. 60 de

la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos e incluida

en el Código Penal, se encuentra en el Capítulo III, “De las Falsificaciones de

Documentos en General”, que forma parte del Título IV, “De los Delitos contra la Fé

Pública”

14. Extracto del testimonio prestado por Dorothy E. Denning ante el Special Oversight Panel on Terrorism, Committee on Armed Services, de la cámara baja estadounidense, 23 de mayo de 2000. Ver texto completo en http://www.cs.georgetown.edu/~denning/infosec/cyberterror.html

54

Manipulación de los datos de salida

Se efectúa fijando un objetivo al funcionamiento del sistema informático. El ejemplo

más común es el fraude de que se hace objeto a los cajeros automáticos mediante la

falsificación de instrucciones para la computadora en la fase de adquisición de datos.

Tradicionalmente esos fraudes se hacían a partir de tarjetas bancarias robadas, sin

embargo, en la actualidad se usan ampliamente equipos y programas de

computadora especializados para codificar información electrónica falsificada en las

bandas magnéticas de las tarjetas bancarias y de las tarjetas de crédito.

· La manipulación de programas

Es muy difícil de descubrir y a menudo pasa inadvertida debido a que el delincuente

debe tener conocimientos técnicos concretos de informática. Este delito consiste en

modificar los programas existentes en el sistema de computadoras o en insertar

nuevos programas o nuevas rutinas. Un método común utilizado por las personas

que tienen conocimientos especializados en programación informática es el

denominado Caballo de Troya, que consiste en insertar instrucciones de

computadora de forma encubierta en un programa informático para que pueda

realizar una función no autorizada al mismo tiempo que su función normal.

2.2.3.3 La Estafa Informática y la Apropiación Ilícita (Aplicado al Phishing)

El Dr. Juan Vizueta Ronquillo, nos indica en su obra “DELITOS INFORMÁTICOS EN

EL ECUADOR”, respecto a la Apropiación ilícita, nos indica que es la sexta infracción

informática incorporada en el Art. 62 de la Ley de Comercio Electrónico, Firmas

Electrónicas y Mensajes de Datos, que consta en el Código Penal, se encuentra en

el Capítulo II, “Del robo” y forma parte del Título X “De delitos contra la propiedad”

La séptima infracción informática anotada en el Art. 63 de la Ley de Comercio

Electrónico, Firmas Electrónicas y Mensajes de Datos e incorporada en el Código

Penal, se encuentra en el Capítulo V “De las Estafas y otras defraudaciones”, que

55

forma parte del Título X “De los Delitos Contra la Propiedad”

Para efectos de estudiar el bien jurídico protegido, se debe considerar el patrimonio

en general o exclusivamente la propiedad, la posesión.

A diferencia de nuestra legislación, en varios países se ha incluido este tipo de

delitos dentro del capítulo de los delitos económicos, por considerarse que perjudica

no solo el interés jurídico individual, sino también por lesionar al Estado y agentes

comerciales, y con ello finalmente al propio orden económico.

El objetivo que persigue la estafa es la entrega de bienes por parte de la víctima,

circunstancia esta que es motivada por error provocado por el agente, al que fue

conducida la víctima, y que resulta de relevante importancia para su consumación, es

decir en el caso del phishing, intenta adquirir información confidencial de forma

fraudulenta (como puede ser una contraseña o información detallada sobre tarjetas

de crédito u otra información bancaria), haciéndose pasar por una institución o

agente de confianza, duplicando páginas web para lograr su cometido.

2.2.4 Sistemas de Seguridad Informática

2.2.4.1 Seguro informático

La inteligencia, como término eufemístico del espionaje tiene muchos métodos y

tácticas para lograr sus objetivos. Igualmente podemos decir que dentro de los

esquemas de espionaje existen diversos tipos de actuación y una de ellas es la

infiltración de "activos" dentro de una organización, que solo entran en acción cuando

se le requiere.

Los sistemas militares y de inteligencia norteamericanos ya cuentan con redes tipo

Internet paralelas para garantizar la privacidad de sus comunicaciones.

Estados unidos estableció una política de seguridad en el ciberespacio y creó un

Departamento especializado en seguridad Informática que depende del Departament

56

of Homeland Security (DHS), cuyos objetivos fundamentales son la identificación

rápida y efectiva de peligros en el ciberespacio y la reparación de daños en caso de

que ocurran. Dentro de las políticas fundamentales establecidas, se encuentran: a)

El desarrollo de una arquitectura para responder a nivel nacional contra ciber

ataques. b) La difusión inmediata de ciber alertas e información de incidentes para el

manejo de crisis de seguridad en el ciberespacio. c) Mejorar la difusión pública y

privada sobre ciber ataques, amenazas y vulnerabilidades informáticas.

En base a estas políticas, fue creado en Septiembre de 2003 el United States

Computer Emergency Readiness Team (US-CERT), que no es más que una alianza

entre el DHS y otros sectores públicos y privados de ese país del norte, con la

finalidad de coordinar la defensa y las respuestas contra los ciber ataques para

proteger Internet.

La Informática Forense, es una disciplina criminalística, que tiene por objeto, la

investigación en sistemas de Tecnologías de Información de hechos con relevancia

jurídica o para simple investigación privada y por supuesto incluye dentro de su

alcance la Investigacióndel Ciberterrorismo.

Para conseguir sus objetivos, la Informática Forense, desarrolla técnicas idóneas

para ubicar, reproducir y analizar evidencia digital. La evidencia digital puede ser

ubicada también en una amplia gama de equipos electrónicos como teléfonos

móviles, agendas electrónicas, fax, dispositivos móviles de almacenamiento, Discos

Compactos, Flash Cards y otro tipo de dispositivos de almacenamiento de

información digital.

En principio, todo hecho acaecido en un sistema informático incluyendo los

ciberterroristas puede ser objeto de estudio y análisis y por ende puede ser utilizado

en tribunales internacionales o militares como medio probatorio. Los peritos en la

materia, utilizan entre otros el método de reconstrucción relacional, es decir, la

ubicación en los ordenadores de los datos vinculados al caso tomando en

57

consideración su secuencia de producción, teniendo como meta establecer el tiempo

y concatenación de estos hechos a efectos de dar a conocer los elementos básicos

de la investigación policial, como lo son: ¿Qué?, ¿Cómo?, ¿Cuándo?, ¿Dónde? y el

¿Por pué? de los hechos.

Los expertos en informática forense pueden hacer investigaciones sobre páginas

Web, sus autores y servidores de todo tipo. Los análisis sobre imágenes digitales,

archivos y la recuperación de datos borrados también entran dentro de la

especialidad. El uso de computadores y redes puede ser reconstruido con fines de

defensa y prevención de ataques o bien para establecer responsabilidades.

2.2.4.2 Seguridad de la Banca en Línea

El auge de la banca online ya es un hecho real, cada día hay más personas que

acceden y usan este servicio para realizar sus transferencias bancarias, pagos,

consultas etc. Por este motivo no tenemos que bajar la guardia en cuanto a

"proteger" nuestras operaciones bancarias de posibles manipulaciones, de posibles

robos de nuestras finanzas y salvaguardar nuestros datos, tal y como hacemos

diariamente en la vida normal o "no virtual".

El hecho de estar sentado tranquilamente en su casa no le exhibe de cualquier hurto

"informático" y usted ha de tomar precauciones tal y como haría por ejemplo al sacar

dinero de un cajero automático o al pagar con una tarjeta de crédito. Vamos a

intentar romper con el posible miedo que se tiene a la hora de acceder al banco por

internet, a pagar por ordenador usando su conexión de internet, o a ir de compra por

la red, ya que tan solo hay que tener un poco de cautela.

No hay más peligro en el mundo informático en cuanto al dinero que en el "mundo

real", el único problema es el desconocimiento y tomando las precauciones

adecuadas es incluso comparativamente más seguro. Igual que no se nos ocurre

perder de vista nuestra tarjeta de crédito cuando compramos, o que miramos bien

58

antes de sacar dinero de un cajero automático y tenemos cuidado de que nadie vea

nuestra clave al teclearla en esos terminales, etc. pues lo mismo ocurre con las

transacciones a través de internet. Debemos por tanto quitarnos ese "miedo" y tomar

como rutina una serie de pasos para que podamos estar seguros y nuestro dinero a

salvo de ladrones.

1.- El primer consejo es más una obligación; Evitar en lo máximo posible acceder a tu

Banca por internet o llevar a cabo transacciones financieras en lugares PÚBLICOS

donde el acceso a Internet está disponible para muchas personas como por ejemplo

Ciber-Cafés, Universidades, Colegios, Oficinas etc. Estos ordenadores podrían tener

algún sistema para "capturar" tus datos personales o la información de tus cuentas.

Si en caso de una posible "urgencia" se ven forzados a acceder al servicio de banca

por internet, para llevar a cabo alguna transacción en un lugar público, evite que

haya personas muy cerca y cierre el navegador al finalizar sus operaciones. A

continuación, o lo antes posible, cambie las claves de acceso de seguridad desde su

ordenador personal.

2.- Acceder a los consejos de seguridad que le ofrece su entidad bancaria. La

mayoría de ellas cuentan con este servicio.

3.- Tener su navegador actualizado para tener los protocolos de seguridad en regla.

4.- Observar si la dirección comienza con https: en lugar de solo http:

Compruebe que la navegación es segura y el sitio web bancario transmite su

información encriptada por medio del protocolo de seguridad SSL (Secure Sockets

Layer) que garantiza la comunicación entre el servidor y el cliente evitando que otros

capturen o vean los datos intercambiados y garantizando la autenticidad del servidor

al que nos conectamos y evitando que éste sea suplantado por un tercero.

59

Una prueba rápida para comprobar la veracidad de la web de nuestro banco y no ser

engañados por algunas web creadas para robar datos, es dar un "doble click" sobre

el candado amarillo que aparece en la parte inferior/derecha de nuestro navegador,

una vez realizado nos saldrá el certificado de autenticidad que asegura la identidad

de nuestro Banco.

5.- El Banco NUNCA le solicitará que informe de sus claves o datos a través del

correo electrónico.

6.- Guarde sus claves de acceso en secreto. Nunca las revele a nadie ni las anote en

lugares visibles o de fácil acceso, como la pantalla, teclados, ni hacer un documento

que ponga "claves-bancarias.txt".

7.- Use claves aleatorias y cambie sus claves periódicamente y siempre que intuya

que pueden ser conocidas por otras personas o fueron utilizadas en lugares públicos.

8.- Si realiza alguna operación monetaria guarde una copia o imprima la información,

la mayoría de web bancarias tienen esta función.

9.- Apuntar y comprobar (si no usa mucho la Banca por Internet) la fecha de la última

vez que accedió a sus cuentas por internet, esta opción no está disponible en todos

los bancos, deberíamos exigirla al Banco como medida de seguridad.

10.- Cuando esté accediendo a la Banca por Internet no desatienda sus operaciones

distrayéndose con otras cosas, es mejor bloquear el ordenador o apagarlo.

11.- Cierre la sesión cuando termine de operar con su oficina virtual.

12.- Borre la caché de su navegador al finalizar la sesión.

13.- Instale algún programa antivirus en su equipo y manténgalo actualizado.

60

14.- Siempre que tenga alguna duda pregunte en su sucursal bancaria, le informarán

y aconsejarán detalladamente de cómo acceder a su "oficina virtual" y de posibles

cambios que se realicen en seguridad.

2.2.5 Legislación comparada

Los fundamentos de Derecho es donde se apoyará el proyecto de manera legal, ya

que necesariamente debe existir una construcción de normas de carácter obligatorio,

las mismas que imponen una serie de deberes y derechos que tenemos como

ciudadanos del Siglo XXI y el acceso que debemos tener a estas Tecnologías de la

Información y Comunicación; es decir son el sustento jurídico de nuestro proyecto.

Es por ello que se considera de mayor importancia observar los siguientes artículos

tanto de la Constitución de la República del Ecuador, La Ley de Comercio

Electrónico, El Código Penal y los posibles artículos a incorporarse en el Nuevo

Código Integral Penal y las leyes vigentes que se encuentran en los diferentes

países del mundo.

Desde los años ochenta, las Naciones Unidas han venido promoviendo por medio de

la Uncitral (CNUDMI – Comisión de las Naciones Unidas para el Derecho Mercantil

Internacional) una adecuación de las diferentes legislaciones mundiales a sus leyes

modelos, entre los documentos aprobados por dicha comisión están: la Ley Modelo

sobre Comercio Electrónico 15 y la Ley Modelo sobre Firmas Electrónicas.

En Sudamérica, el primer país que se preocupó por estos temas fue Colombia, ya

que en 1999 publica su ley 527, la misma que regula el comercio electrónico, firmas

digitales y las entidades de certificación, luego en el mes de mayo del año 2000 Perú

publica la ley 27269, sobre Ley de Firmas y Certificados Digitales. Luego, le siguen

en el 2001 Argentina y Venezuela en el año 2001, luego Chile y Ecuador en el año

2002.

15. Ley Modelo sobre Comercio Electrónico, CNUDMI – Comisión de las Naciones Unidas para el Derecho Mercantil Internacional, 1996 complementada por la Comisión en 1998.

61

Gerberth Adín Ramírez Rivera 16, expresa “para que todo lo realizado en la

informática forense sea exitoso, es necesario que se tengan regulaciones jurídicas

que penalicen a los atacantes y que pueda sentenciárseles por los crímenes

cometidos. Cada país necesita reconocer el valor de la información de sus habitantes

y poder protegerlos mediante leyes. De manera que los crímenes informáticos no

queden impunes”.

2.2.5.1 Legislación y Delitos Informáticos - Alemania

En Alemania, para hacer frente a la delincuencia relacionada con la informática, el 15

de mayo de 1986 se adoptó la Segunda Ley contra la Criminalidad Económica.

Esta ley reforma el Código Penal (art. 148 del 22 de diciembre de 1987)

Espionaje de datos (202a).

Estafa informática (263a).

Falsificación de datos probatorios (269) junto a modificaciones

complementarias del resto de falsedades documentales como el engaño en el

tráfico jurídico mediante la elaboración de datos, falsedad ideológica, uso de

documentos falsos (270, 271, 273).

Alteración de datos (303a) es ilícito cancelar, inutilizar o alterar datos e

inclusive la tentativa es punible.

Sabotaje informático (303b).

Destrucción de datos de especial significado por medio de deterioro,

inutilización, eliminación o alteración de un sistema de datos. También es

punible la tentativa.

Utilización abusiva de cheques o tarjetas de crédito (266b).

Por lo que se refiere a la estafa informática, el perjuicio patrimonial que se

comete consiste en influir en el resultado de una elaboración de datos por

16. Ley Modelo sobre Firmas Electrónicas, CNUDMI – Comisión de las Naciones Unidas para el Derecho Mercantil Internacional, 2001.

62

medio de una realización incorrecta del programa, a través de la utilización de

datos incorrectos o incompletos, mediante la utilización no autorizada de datos

o a través de una intervención ilícita. Esta solución fue también adoptada en

los Países Escandinavos y en Austria.

2.2.5.2 Legislación y Delitos Informáticos - Austria

Según la Ley de reforma del Código Penal del 22 de diciembre de 1987, se

contemplan los siguientes delitos:

Destrucción de datos (art. 126) no solo datos personales sino también los no

personales y los programas.

Estafa informática (art. 148) se sanciona a aquellos que con dolo causen un

perjuicio patrimonial a un tercero influyendo en el resultado de una elaboración

de datos automática a través de la confección del programa, por la

introducción, cancelación o alteración de datos o por actuar sobre el

procesamiento de datos. Además contempla sanciones para quienes cometen

este hecho utilizando su profesión.

2.2.5.3 Legislación y Delitos Informáticos - China

El Tribunal Supremo Chino castigará con la pena de muerte el espionaje desde

Internet, según se anunció el 23 de enero de 2001.

Todas las personas "implicadas en actividades de espionaje", es decir que "roben,

descubran, compren o divulguen secretos de Estado" desde la red podrán ser

condenadas con penas que van de diez años de prisión hasta la muerte. ¿Castigo

ejemplar?.

La corte determina que hay tres tipos de actividades donde la vigilancia será

extrema: secretos de alta seguridad, los secretos estatales y aquella información que

dañe seriamente la seguridad estatal y sus intereses. Se consideran actividades

63

ilegales la infiltración de documentos relacionados con el Estado, la defensa, las

tecnologías de punta, o la difusión de virus informático.

El Tribunal ha hecho especial énfasis al apartado del espionaje desde la red. A los

llamados "criminales", además de tener asegurada una severa condena (la muerte),

también se les puede... ¡confiscar los bienes!.

2.2.5.4 Legislación y Delitos Informáticos - Francia

Aquí, la Ley 88/19 del 5 de enero de 1988 sobre el fraude informático contempla:

Acceso fraudulento a un sistema de elaboración de datos. Se sanciona tanto

el acceso al sistema como al que se mantenga en él y aumenta la sanción si

de ese acceso resulta la supresión o modificación de los datos contenidos en

el sistema o resulta la alteración del funcionamiento del sistema.

Sabotaje Informático. Falsear el funcionamiento de un sistema de tratamiento

automático de datos.

Destrucción de datos. Se sanciona a quien intencionalmente y con

menosprecio de los derechos de los demás introduzca datos en un sistema de

tratamiento automático de datos, suprima o modifique los datos que este

contiene o los modos de tratamiento o de transmisión.

Falsificación de documentos informatizados. Se sanciona a quien de cualquier

modo falsifique documentos informatizados con intención de causar un

perjuicio a otro.

2.2.5.5 Legislación y Delitos Informáticos - Holanda

Hasta el día 1 de marzo de 1993, día en que entró en vigencia la Ley de Delitos

Informáticos, Holanda era un paraíso para los hackers. Esta ley contempla con

artículos específicos sobre técnicas de Hacking.

64

El mero hecho de entrar en una computadora en la cual no se tiene acceso legal ya

es delito y puede ser castigado hasta con seis meses de cárcel. Si se usó esa

computadora hackeada para acceder a otra, la pena sube a cuatro años aunque el

crimen, a simple vista, no parece ser peor que el anterior. Copiar archivos de la

máquina hackeada o procesar datos en ella también conlleva un castigo de cuatro

años en la cárcel. Publicar la información obtenida es ilegal si son datos que debían

permanecer en secreto, pero si son de interés público es legal.

El daño a la información o a un sistema de comunicaciones puede ser castigado con

cárcel de seis meses a quince años, aunque el máximo está reservado para quienes

causaron la muerte de alguien con su accionar. Cambiar, agregar o borrar datos

puede ser penalizado hasta con dos años de prisión pero, si se hizo vía remota

aumenta a cuatro.

Los virus están considerados de manera especial en la ley. Si se distribuyen con la

intención de causar problemas, el castigo puede llegar hasta los cuatro años de

cárcel; si simplemente se "escapó", la pena no superará el mes.

El usar el servicio telefónico mediante un truco técnico (Phreacking) o pasando

señales falsas con el objetivo de no pagarlo puede recibir hasta tres años de prisión.

La venta de elementos que permitan el Phreaking se castiga con un año de prisión

como tope y si ese comercio es el modo de ganarse la vida del infractor, el máximo

aumenta a tres. La ingeniería social también es castigada con hasta tres años de

cárcel.

Recibir datos del aire es legal (transmisiones satelitales), siempre y cuando no haga

falta un esfuerzo especial para conseguirlos; la declaración protege datos

encriptados, como los de ciertos canales de televisión satelital. Falsificar tarjetas de

crédito de banca electrónica y usarlas para obtener beneficios o como si fueran las

originales está penado con hasta seis años. Aunque hacerlas y no usarlas parece ser

legal.

65

2.2.5.6 Legislación y Delitos Informáticos - Inglaterra

Luego de varios casos de hacking surgieron nuevas leyes sobre delitos informáticos.

En agosto de 1990 comenzó a regir la Computer Misuse Act (Ley de Abusos

Informáticos) por la cual cualquier intento, exitoso o no de alterar datos informáticos

con intención criminal se castiga con hasta cinco años de cárcel o multas sin límite.

El acceso ilegal a una computadora contempla hasta seis meses de prisión o multa

de hasta dos mil libras esterlinas.

El acta se puede considerar dividida en tres partes: hackear (ingresar sin permiso en

una computadora), hacer algo con la computadora hackeada y realizar alguna

modificación no autorizada.

El último apartado se refiere tanto al hacking (por ejemplo, la modificación de un

programa para instalar un backdoor), la infección con virus o, yendo al extremo, a la

destrucción de datos como la inhabilitación del funcionamiento de la computadora.

Bajo esta ley liberar un virus es delito y en enero de 1993 hubo un raid contra el

grupo de creadores de virus. Se produjeron varios arrestos en la que fue considerada

la primera prueba de la nueva ley en un entorno real.

2.2.5.7 Legislación y Delitos Informáticos - Chile

Chile fue el primer país latinoamericano en sancionar una Ley contra Delitos

Informáticos. La ley 19223 publicada en el Diario Oficial (equivalente del Boletín

Oficial argentino) el 7 de junio de 1993 señala que la destrucción o inutilización de un

sistema de tratamiento de información puede ser castigado con prisión de un año y

medio a cinco.

66

Como no se estipula la condición de acceder a ese sistema, puede encuadrarse a los

autores de virus. Si esa acción afectara los datos contenidos en el sistema, la prisión

se establecería entre los tres y los cinco años.

El hacking, definido como el ingreso en un sistema o su interferencia con el ánimo de

apoderarse, usar o conocer de manera indebida la información contenida en éste,

también es pasible de condenas de hasta cinco años de cárcel; pero ingresar en ese

mismo sistema sin permiso y sin intenciones de ver su contenido no constituye delito.

Dar a conocer la información almacenada en un sistema puede ser castigado con

prisión de hasta tres años, pero si el que lo hace es el responsable de dicho sistema

puede aumentar a cinco años. Esta ley es muy similar a la inglesa aunque agrega la

protección a la información privada.

2.2.5.8 Legislación y Delitos Informáticos - España

Este país quizás sea el que mayor experiencia ha obtenido en casos de delitos

informáticos, en Europa.

Su actual Ley Orgánica de Protección de Datos de Carácter Personal (LOPDCP)

aprobada el 15 de diciembre de 1999, la cual reemplaza una veintena de leyes

anteriores de la misma índole, contempla la mayor cantidad de acciones lesivas

sobre la información.

Se sanciona en forma detallada la obtención o violación de secretos, el espionaje, la

divulgación de datos privados, las estafas electrónicas, el hacking maligno o militar,

el phreacking, la introducción de virus, etc.; aplicando pena de prisión y multa,

agravándolas cuando existe una intención dolosa o cuando el hecho es cometido por

parte de funcionarios públicos.

67

Así mismo su nuevo Código Penal establece castigos de prisión y multas "a quien

por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los

datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o

sistemas informáticos".

2.2.5.9 Legislación y Delitos Informáticos - Estados Unidos

El primer abuso de una computadora se registró en 1958 mientras que recién en

1966 se llevó adelante el primer proceso por la alteración de datos de un banco de

Mineapolis. En la primera mitad de la década del 70, mientras los especialistas y

criminólogos discutían si el delito informático era el resultado de una nueva

tecnología o un tema específico, los ataques computacionales se hicieron más

frecuentes. Para acelerar las comunicaciones, enlazar compañías, centros de

investigación y transferir datos, las redes debían (y deben) ser accesibles, por eso el

Pentágono, la OTAN, las universidades, la NASA, los laboratorios industriales y

militares se convirtieron en el blanco de los intrusos.

Pero en 1976 dos hechos marcaron un punto de inflexión en el tratamiento policial de

los casos: el FBI dictó un curso de entrenamiento para sus agentes acerca de delitos

informáticos y el Comité de Asuntos del Gobierno de la Cámara presentó dos

informes que dieron lugar a la Ley Federal de Protección de Sistemas de 1985.

Esta ley fue la base para que Florida, Michigan, Colorado, Rhode Island y Arizona se

constituyeran en los primeros estados con legislación específica, anticipándose un

año al dictado de la Computer Fraud y Abuse Act de 1986.

Este se refiere en su mayor parte a delitos de abuso o fraude contra casas

financieras, registros médicos, computadoras de instituciones financieras o

involucradas en delitos interestatales. También especifica penas para el tráfico de

claves con intención de cometer fraude y declara ilegal el uso de passwords ajenas o

68

propias en forma inadecuada. Pero sólo es aplicable en casos en los que se

verifiquen daños cuyo valor supere el mínimo de mil dólares.

En 1994 se adoptó el Acta Federal de Abuso Computacional, modificando el Acta de

1986. Aquí se contempla la regulación de los virus (computer contaminant)

conceptualizándolos aunque no los limita a los comúnmente llamados virus o

gusanos sino que contempla a otras instrucciones designadas a contaminar otros

grupos de programas o bases de datos.

Modificar, destruir, copiar, transmitir datos o alterar la operación normal de las

computadoras, los sistemas o las redes informáticas es considerado delito. Así, esta

ley es un acercamiento real al problema, alejado de argumentos técnicos para dar

cabida a una nueva era de ataques tecnológicos.

El aumento en la cantidad de casos de hacking y la sensación de inseguridad

permanente que generaron (fomentada por la difusión de los hechos en programas

especiales de televisión y artículos de revistas especializadas), cambiaron la

percepción de las autoridades con respecto a los hackers y sus ataques. Los casos

que demostraron ese cambio fueron los del "Cóndor" Kevin Mitnicky y los de

"ShadowHawk" Herbert Zinn hijo.

El FCIC (Federal Computers Investigation Commitee), es la organización más

importante e influyente en lo referente a delitos computacionales: los investigadores

estatales y locales, los agentes federales, abogados, auditores financieros,

programadores de seguridad y policías de la calle trabajan allí comunitariamente. El

FCIC es la entrenadora del resto de las fuerzas policiales en cuanto a delitos

informáticos, y el primer organismo establecido en el nivel nacional.

Además existe la Asociación Internacional de Especialistas en Investigación

Computacional (IACIS), quien investiga nuevas técnicas para dividir un sistema en

sus partes sin destruir las evidencias. Sus integrantes son "forenses de las

69

computadoras" y trabajan, además de los Estados Unidos, en el Canadá, Taiwán e

Irlanda.

2.2.5.10 Legislación en el Ecuador

En la legislación del Ecuador bajo el contexto de que la información es un bien

jurídico a proteger, se mantienen leyes y decretos que establecen apartados y

especificaciones acorde con la importancia de las tecnologías, tales como:

1) Ley Orgánica de Transparencia y Acceso a la Información Pública.

2) Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos.

3) Ley de Propiedad Intelectual.

4) Ley Especial de Telecomunicaciones.

5) Ley de Control Constitucional (Reglamento Habeas Data).

1) Ley Orgánica de Transparencia y Acceso a la Información Pública.

La Ley Orgánica de Transparencia y Acceso a la Información Pública (Lotaip),

publicada en el Registro Oficial Suplemento # 337 del 18 de mayo del 2004, fue

expedida con la finalidad de llevar a la práctica la disposición contenida en el Art. #

81 de la Constitución Política de 1998, en la que se señala que “la información es un

derecho de las personas que garantiza el Estado”.

La ley establece que todas las instituciones del sector público pongan a disposición

de la ciudadanía, el libre acceso a la información institucional (estructura orgánica,

bases legales, regulaciones, metas, objetivos, presupuestos, resultados de

auditorías, etc.), a través de sus sitios web, bajo este mismo contexto las

70

disposiciones contenidas en la Constitución Política del Ecuador vigente, en su

capítulo tercero de las Garantías Jurisdiccionales de sus secciones cuarta y quinta

de los Art. 91 y 92 sobre la acción de acceso a la información pública y acción de

Habeas Data, también se establece dichas garantías.

De acuerdo a un estudio realizado por el Grupo Faro 17, en marzo del 2007. Los

Ministerios Ecuatorianos cumplen, en un promedio del 49% de lo dispuesto en la Ley

Orgánica de Transparencia y Acceso a la Información.

Otro organismo que vigila, analiza, realiza controles permanentes y se encarga del

cumplimiento de la Ley Orgánica de Transparencia y Acceso a la Información

Pública, es la Defensoría del Pueblo, quienes a través de un informe, publicado en el

Diario El Telégrafo 18, del 27 de octubre del 2008, revelaron los siguientes datos con

respecto del monitoreo de la ley:

1. De 380 instituciones públicas, 291 cumplen publicando su información de acuerdo

a lo dispuesto en la Ley.

2. A 89 instituciones se les notificó para que cumplan con la Ley.

3. 72 instituciones solicitaron una prórroga para completar y cumplir con las

disposiciones de la Ley.

4. 70 instituciones cumplieron luego de haber recibido la notificación.

5. 17 instituciones no remitieron ninguna respuesta acerca de la notificación.

6. 12 instituciones respondieron la notificación indicando que las páginas se

encuentran en fase de construcción.

17. Grupo Faro, Acción Colectiva para el Bienestar Público, Cumplimiento de la Ley Lotaip, 2007, http://www.grupofaro.org/

18. Diario el Telégrafo, Edición N° 45119, Transparencia en la Información Pública, Página 4 y 5, Publicación Octubre 27 del 2008.

71

7. Por último 7 instituciones no cumplen con las disposiciones de la Ley.

El mismo informe revela que en el caso de la Provincia del Guayas la Defensoría del

Pueblo suscribió un convenio con Participación Ciudadana que promueve el

cumplimiento de la Ley, el cual inicio el mes de junio del 2008.

2) Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos

La Ley de Comercio Electrónico, Firmas Digitales y Mensaje de Datos (LCElec.) fue

publicada en el Registro Oficial N° 557 del 17 de Abril del 2002 en el que se dispone

que los mensajes de datos tendrán, igual valor jurídico que los documentos escritos.

La Ley de Comercio Electrónico, Firmas Digitales y Mensaje de Datos está

conformada por cinco títulos conteniendo cada uno varios capítulos y artículos

1) Título Preliminar.

2) De las Firmas electrónicas, certificados de firmas electrónicas, entidades de

certificación de información, organismos de promoción de los servicios electrónicos, y

de regulación y control de las entidades de certificación acreditadas.

3) De los servicios electrónicos, la contratación electrónica y telemática, los derechos

de los usuarios, e instrumentos públicos.

4) De la prueba y notificaciones electrónicas.

5) De las infracciones informáticas.

La Ley contiene los principios jurídicos que regirán las transmisiones de los mensajes

de datos. Se le concede pleno valor y eficacia jurídica a los mensajes de datos, tanto

a su información como a su contenido general; la interpretación de la Ley y el

ejercicio de la Propiedad Intelectual se rigen por la legislación ecuatoriana y por los

tratados internacionales incorporados al cuerpo legal ecuatoriano. Se protege la

confidencialidad de los mensajes de datos en sus diversas formas, señalando lo que

se entenderá por tal concepto y su violación. Se equipara el documento escrito con el

72

documento electrónico para el caso en que se requiera la presentación de un

documento escrito, procediendo de igual manera con el documento original y la

información contenida en él, siempre y cuando exista garantía de su conservación

inalterable.

Como punto esencial, se establece que la firma electrónica tendrá validez cuando

conste como un requisito de legalidad documental. Además se protege las bases de

datos creadas u obtenidas por transmisión electrónica de un mensaje de datos,

concediendo al titular de dichos datos el poder para autorizar la disposición de su

información, sea que dichos datos fueron obtenidos como usuario de un servicio o

sea que fueron obtenidos en el intercambio de mensajes de datos. Se ratifica la

defensa legal mediante el Derecho Constitucional de Habeas Data.

Se busca que especialmente en los negocios relacionados con el comercio

electrónico las notificaciones sean por medio de correo electrónico, estableciéndose

obligatoriedad de notificar por éste medio y por el tradicional para el caso de

resoluciones sometidas a Tribunales de Arbitraje. El documento electrónico será

considerado como medio de prueba con todos sus efectos legales. Para que existan

presunciones legales sobre la veracidad de un documento, éste deberá cumplir los

principios de integridad e identidad, para justificar la voluntad contractual de obligarse

por dicho documento. Aquella parte que niegue la validez de un documento

electrónico deberá probar que este no cumple con los requisitos técnicos

mencionados anteriormente. Se establecen varios requisitos para la correcta

aplicación de la prueba en estos casos, entre ellos señalamos:

1) La presentación de los soportes necesarios en papel del documento electrónico y

los mecanismos para la lectura y verificación de la firma.

2) La presentación del certificado validado por un proveedor de servicios de

certificación.

73

3) Los demás mensajes de datos deberán guardar especial atención con la

integridad de su contenido. Las pruebas serán juzgadas y valoradas de acuerdo con

“la seguridad y fiabilidad con la cual se la verificó, envió, archivó y recibió”. Para una

mejor apreciación de la prueba el juzgador contará con el asesoramiento de un perito

en la materia, es decir un perito informático.

El organismo facultado para autorizar a las entidades de certificación de información

es el Consejo Nacional de Telecomunicaciones, según lo dispuesto en la Ley de

Comercio Electrónico, Firmas Digitales y Mensaje de Datos y el Reglamento

expedido por el Presidente de la República, mediante Decretos Ejecutivos 3496 (31

de julio del 2002) y 1356 (29 de Septiembre del 2008) en los que se establecen el

modelo de Resolución para la Acreditación como Entidad de Certificación y

Información y Servicios Relacionados, tal como lo establece el Art. 29 del Capítulo II

de la ley.

Las funciones y responsabilidades otorgadas por el Consejo Nacional de

Telecomunicaciones, a las entidades de certificación de información y servicios

relacionados, es que dichas entidades se encargan de la generación, gestión,

administración, custodia y protección de las claves y los certificados de firma

electrónica, así como la validación de la identidad e información de los usuarios o

solicitantes de firmas electrónicas, mediante el uso de infraestructura y recurso

humano capacitado para operar dicha infraestructura con absoluta pericia y

confidencialidad. Uno de los organismos que obtuvo la autorización del Consejo

Nacional de Telecomunicaciones como Entidad de Certificación es el Banco Central

del Ecuador para emitir certificados a personas naturales, jurídicas y funcionarios

públicos.

3) Ley de Propiedad Intelectual

La Ley de Propiedad Intelectual (Lpint.), publicada en el Registro Oficial N° 320 del

19 de Mayo de 1998, nace con el objetivo de brindar por parte del Estado una

adecuada protección de los derechos intelectuales y asumir la defensa de los

74

mismos, como un elemento imprescindible para el desarrollo tecnológico y

económico del país.

El organismo nacional responsable por la difusión, y aplicación de las leyes de la

Propiedad Intelectual en el Ecuador es el INSTITUTO ECUATORIANO DE

PROPIEDAD INTELECTUAL (IEPI), el mismo que cuenta con oficinas en Quito,

Guayaquil y Cuenca. Es una persona jurídica de derecho público, con patrimonio

propio, autonomía administrativa, económica, financiera, y operativa, con sede en la

ciudad de Quito.

Dar a conocer la importancia que tiene la Propiedad Intelectual en el Ecuador y su

debida aplicación en los sectores económico, industrial, intelectual y de investigación,

debe ser tarea no sólo del profesional del derecho, sino de los industriales y

empresarios, de las instituciones públicas y privadas, de los centros superiores de

estudios e inclusive del propio estado ecuatoriano.

Conocer la propiedad intelectual es también conocer, que uno de los principales

problemas que enfrenta esta rama del derecho moderno, es la piratería y falsificación

de las obras del intelecto humano, las cuales traen graves consecuencias

económicas y sociales; a más de los perjuicios de los titulares de derechos de

propiedad intelectual, pues esta pérdida no solo afecta a los fabricantes de los

productos falsificados, sino a la reducción de ingresos tributarios e inclusive la

pérdida de empleos, debido a los efectos negativos resultantes de la mano de obra

clandestina, de las labores creativas y de investigación, perjudicando la vitalidad

cultural y económica de un país.

Es importante resaltar que la ley incluye en su codificación la protección de bases de

datos que se encuentren en forma impresa u otra forma, así como también los

programas de ordenador los cuales son considerados como obras literarias.

Las iniciativas dadas para la protección y respeto de las especificaciones de la Ley

de Propiedad Intelectual, así como los Derechos de Autor se han desarrollado por

75

campañas de la Business Software Alliance (BSA) tales como “Marca el Límite”,

“Anímate 2007”, “Buenos Negocios”, “Evite riesgos, use software legal” como

acciones puntuales que impulsan el uso de software legal.

El estudio de piratería mundial de software 19, que corresponde al año 2007,

realizado por la International Data Corporation (IDC), publicado por la Business

Software Alliance, establece que Ecuador mantiene una tasa de piratería de un 66%,

que constituyen pérdidas por aproximadamente 33 millones de dólares y representan

un incremento del 10% con respecto a la última medición (30 millones de dólares).

Otro proyecto impulsado por la BSA es la habilitación del portal “Reporte

confidencial sobre piratería de software”, que permite denunciar de manera

confidencial la piratería del software en América Latina.

4) Ley Especial de Telecomunicaciones

La Ley Especial de Telecomunicaciones fue publicada en el Registro Oficial N° 996

del 10 de Agosto de 1992, en el que se declara que es indispensable proveer a los

servicios de telecomunicaciones de un marco legal acorde con la importancia,

complejidad, magnitud tecnología y especialidad de dichos servicios, así como

también asegurar una adecuada regulación y expansión de los sistemas

radioeléctricos, y servicios de telecomunicaciones a la comunidad que mejore de

forma permanente la prestación de los servicios existentes.

La Ley Especial de Telecomunicaciones tiene por objeto normar en el territorio

nacional la instalación, operación, utilización y desarrollo de toda transmisión,

emisión o recepción de signos, señales, imágenes, sonidos e información de

cualquier naturaleza por hilo radioelectricidad, medios ópticos y otros sistemas

electromagnéticos.

19. Business Software Alliance BSA, 5ta Estudio Anual Global de la Pirateria de Software por BSA e IDC, 2007 /

76

5) Ley Orgánica de Control Constitucional

La Ley Orgánica de Control Constitucional (LocConst.), fue publicada en el Registro

Oficial N° 99 del 2 de Julio de 1997 y fue calificada con Jerarquía y carácter de Ley

Orgánica, por resolución Legislativa, publicado en Registro Oficial 280 del 8 de

Marzo del 2001.

La Ley Orgánica de Control Constitucional, en su Capítulo II del Habeas Data

establece que “las personas naturales o jurídicas, nacionales o extranjeras, que

desean tener acceso a documentos, bancos de datos e informes que sobre si misma

o sus bienes están en poder de entidades públicas, de personas naturales o jurídicas

privadas, así como conocer el uso y finalidad que se les haya dado o se les este por

dar, podrán imponer el recurso de Habeas Data para requerir las respuestas y exigir

el cumplimiento de las medidas tutelares prescritas en esta ley, por parte de las

personas que posean tales datos o informaciones”.

En la Constitución Política del Ecuador vigente (2008), en su capítulo tercero de las

Garantías Jurisdiccionales de su sección quinta Art. 92 sobre la acción de Habeas

Data, también se establece recurso jurídico de Habeas Data.

De acuerdo a la especificación contemplada en la Ley de Comercio Electrónico,

Firmas Digitales y Mensajes de Datos, en su título quinto de las infracciones

informáticas, los delitos informáticos que se tipifican, mediante reformas al Código

Penal, se muestran a continuación:

1. Artículo 58: Delitos contra la Información Protegida (Artículo 202

del Código Penal)

SANCIÓN CARCELARIA SANCIÓN PECUNIARIA

1.- Violentando claves o

sistemas.

6 meses – 1 año US$ 500 – US$ 1000

77

2.- Información obtenida

sobre la Seguridad

Nacional, secretos

comerciales o

industriales.

3 años US$ 1000 – US$ 1500

3.- Divulgación o

utilización fraudulenta

de los rubros anteriores.

3 – 6 años US$ 2000 – US$ 10000

4.- Divulgación o

utilización por

funcionarios a cargo de

dicha información.

6 – 9 años US$ 2000 – US$ 10000

5.- Obtención y uso no

autorizados de datos

personales para cederla

o utilizarla.

2 meses – 2 años US$ 1000 – US$ 2000

2. Artículo 59: Destrucción Maliciosa de Documentos por

Funcionarios de Servicio Público (Artículo 262 del Código Penal)


3 – 6 años --------

3. Artículo 60: Falsificación Electrónica según el siguiente detalle y

con ánimo de lucro con perjuicio a terceros (Artículo 363 del

Código Penal)

78

SANCIÓN CARCELARIA

1.- Alterar un mensaje de

datos.

6 años

2.- Simulación de

mensajes.

6 años

3.- Suposición de

intervención en actos,

declaraciones, etc.

6 años

4. Artículo 61: Daños Informáticos (Artículo 415 del Código Penal)


1.- Daño doloso de

información contenida

en un sistema.

6 meses – 3 años US$ 60 – US$ 150

2.- Cometido por

funcionario público o

vinculado a la defensa

nacional.

3 – 5 años US$ 200 – US$ 600

3.- Si no se tratare de un

delito mayor, la

destrucción, alteración o

inutilización de

infraestructura para la

transmisión.

8 meses – 4 años US$ 200 – US$ 600

79

5. Artículo 62: Apropiación ilícita (Artículo 553.1 del Código Penal)


1.- Uso fraudulento o

ilícito para apropiación

de un bien ajeno, etc.

6 meses – 3 años US$ 500 – US$ 1000

2.- Uso fraudulento

mediante los siguientes

medios: 1) Inutilización

de sistemas de alarma;

2) Descubrimiento

descifrado de claves

secretas; 3) Las tarjetas

magnéticas; 4) De

controles o

instrumentos; 5)

Violación de

seguridades.

1 – 5 años US$ 1000 – US$ 2000

6. Artículo 63: Estafa a través de medios electrónicos (Artículo 563

del Código Penal)

SANCIÓN CARCELARIA SANCIÓN

PECUNIARIA

1 – 5 años US$ 500 – US$ 1000

2.2.5.11 La Constitución del Ecuador

Todas las personas, en forma individual o colectiva, tienen derecho a:

80

1. Una comunicación libre, intercultural, incluyente, diversa y participativa, en todos

los ámbitos de la interacción social, por cualquier medio y forma, en su propia lengua

y con sus propios símbolos.

2. El acceso universal a las tecnologías de información y comunicación.

3. La creación de medios de comunicación social, y al acceso en igualdad de

condiciones al uso de las frecuencias del espectro radioeléctrico para la gestión de

estaciones de radio y televisión públicas, privadas y comunitarias, y a bandas libres

para la explotación de redes inalámbricas.

4. El acceso y uso de todas las formas de comunicación visual, auditiva, sensorial y a

otras que permitan la inclusión de personas con discapacidad.

5. Integrar los espacios de participación previstos en la Constitución en el campo de

la comunicación.

El Estado garantizará la asignación, a través de métodos transparentes y en igualdad

de condiciones, de las frecuencias del espectro radioeléctrico, para la gestión de

estaciones de radio y televisión públicas, privadas y comunitarias, así como el

acceso a bandas libres para la explotación de redes inalámbricas, y precautelará que

en su utilización prevalezca el interés colectivo.

Todas las personas tienen derecho a buscar, recibir, intercambiar, producir y difundir

información veraz, acceder libremente a la información generada en entidades

públicas, o en las privadas que manejen fondos del Estado o realicen funciones

públicas.

El sistema nacional de ciencia, tecnología, innovación y saberes ancestrales, en el

marco del respeto al ambiente, la naturaleza, la vida, las culturas y la soberanía,

tendrá como finalidad:

1. Generar, adaptar y difundir conocimientos científicos y tecnológicos.

81

2. Recuperar, fortalecer y potenciar los saberes ancestrales.

3. Desarrollar tecnologías e innovaciones que impulsen la producción nacional,

eleven la eficiencia y productividad, mejoren la calidad de vida y contribuyan a la

realización del buen vivir.

Será responsabilidad del Estado:

1. Facilitar e impulsar la incorporación a la sociedad del conocimiento para alcanzar

los objetivos del régimen de desarrollo.

2. Promover la generación y producción de conocimiento, fomentar la investigación

científica y tecnológica, y potenciar los saberes ancestrales, para así contribuir a la

realización del buen vivir, al Sumak Kawsay.

3. Asegurar la difusión y el acceso a los conocimientos científicos y tecnológicos, el

usufructo de sus descubrimientos y hallazgos en el marco de lo establecido en la

Constitución y la Ley.

2.2.5.12 Análisis del Código Integral Penal

Mientras se reforma el Código Penal, en Ecuador se trabaja actualmente con leyes

supletorias:

Código Penal, en especial el artículo 202

Ley de Comercio electrónico, firmas electrónicas y bases de datos

Resolución 55/63 aprobada por la Asamblea de la ONU de la Lucha contra la

utilización de la tecnología de la información con fines delictivos.

Convenio de Cibercriminalidad de Budapest, del cual podremos ser signatarios

una vez que contemos con una normativa legal específica para estos delitos,

y;

82

Reglamento 124/7 de la Interpol para el tratamiento de datos.

El martes 28 de enero de 2013, la Asamblea Nacional de la República del Ecuador,

aceptando 69 de 73 observaciones u objeciones parciales, emitidas por el señor

Presidente Constitucional de la República, promulgó el CÓDIGO ORGANICO

INTEGRAL PENAL, publicado ya en el Registro Oficial, en el que se compendia en

un mismo cuerpo normativo los códigos sustantivo, adjetivo y de ejecución penal,

todos ellos de trascendental importancia para el funcionamiento del sistema penal.

La nueva normativa penal, está compuesta por la Exposición de Motivos, en la que

se destaca su dimensión histórica, ya que el Ecuador desde su época republicana,

ha promulgado cinco Códigos Penales en 1837, 1872, 1889, 1906 y 1938 y la

codificación de 1971, produciéndose en cuarenta años, desde 1971 hasta mayo de

2010, cuarenta y seis reformas, sin contar más de doscientas normas no penales que

tipifican infracciones; tornándolo antiguo, incompleto, disperso y retocado, ya que fue

permanentemente modificado, incluyendo tipos penales que socialmente

demandaban su expedición.

En materia procesal penal, el Ecuador ha contado con cinco leyes, encontrándose

vigente la expedida en el año 2000, con el que se introdujo un cambio fundamental,

con relación al adjetivo penal de 1983, pasando del sistema inquisitivo, al actual

sistema acusatorio oral, pero para su aplicación se implementaron múltiples

modificaciones, reformándolo en forma aislada en catorce oportunidades.

Por mandato constitucional, era indispensable expedir una nueva normativa penal,

para garantizar la dignidad del ser humano, adecuándola formal y materialmente a la

Constitución de 2008 y a los tratados internacionales, surgiendo de esta forma la

necesidad de actualizar el derecho penal, como ha ocurrido con la expedición del

Código Orgánico Integral Penal.

83

Pero para que entre en vigor este nuevo Código Orgánico, la Asamblea Nacional,

con la objeción parcial del señor Presidente de la República, ha señalado en la parte

final del articulado, cuatro Disposiciones Generales; veintitrés Disposiciones

Transitorias; catorce Disposiciones Reformatorias; veintiséis Disposiciones

Derogatorias; y, una Disposición Final, que dice:

“El Código Orgánico Integral Penal, entrará en vigencia en ciento ochenta días

contados a partir de su publicación en el Registro Oficial, con excepción de

las disposiciones reformatorias al Código Orgánico de la Función Judicial, que

entrarán en vigencia a partir de la publicación de este Código en el Registro

Oficial.”

La nueva ley, en proceso de entrar en vigencia, traerá cambios significativos para el

tratamiento del delito informático. El capítulo que tendría en este Código sería el de

“Delitos contra los derechos del buen vivir”.

Asimismo, en este nuevo Código se incorporaría al Código de Procedimiento Penal,

en el capítulo pertinente a las pruebas, la evidencia digital como otro elemento de

convicción y posterior prueba en la etapa de juicio, para su respectivo cómputo

forense.

El delito de phishing como bien se ha definido en el presente proyecto, no consta

establecido como tal, ni la naturaleza del mismo se encuentra en el Código Penal, e

intenta ser tipificado en el Código Orgánico Integral Penal.

En el Código Orgánico Integral Penal, en su Capítulo Tercero.- Delitos contra los

derechos del buen vivir.- Sección Tercera.- Delitos contra la seguridad de los activos

de los sistemas de información y comunicación, en sus Arts. 229, 230, 231, 232, 233

y 234, refiere la tipificación y sanción en los casos de relevación ilegal de base de

84

datos, interceptación ilegal de base de datos, transferencia electrónica de activo

patrimonial, ataque a la integridad de sistemas informáticos y los delitos contra la

información pública reservada, pero no tipifica al delito de phishing, o la denominada

“estafa informática” y en concreto, abordar la problemática referida al phishing,

conociendo que el núcleo del tipo penal de estafa consiste en el engaño, donde el

sujeto activo del delito se hace entregar un bien patrimonial, por medio del engaño;

es decir, haciendo creer la existencia de algo que en realidad no existe

Si bien el COIP, intenta establecer una serie de directrices dirigidas a la previsión de

conductas criminales como, la realización o provocación de transferencias o valores

monetarios no consentidos, la introducción, supresión, alteración o borrado de datos

informáticos; entre otros.

Es necesario tipificar el phishing, específicamente, sancionar en un artículo a quien

con ánimo de lucro y valiéndose de alguna manipulación informática o artificio

semejante, logre adquirir información confidencial de forma fraudulenta, haciéndose

pasar por una persona o empresa de confianza, interactuando con el cibernauta, ya

sea mediante correo electrónico, mensajería instantánea, llamadas telefónicas,

engaños en páginas web y consigan una transferencia no consentida de cualquier

activo patrimonial en perjuicio de otro, fabricaren, introdujeren, poseyeren o

facilitaren programas informáticos, y utilizando tarjetas de crédito o débito, o cheques

de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de

cualquier clase en perjuicio de su titular o de un tercero.

TÉRMINOS BÁSICOS.-

Cliente (Client): Computadora o programa que se conecta a servidores para obtener

información. Un cliente sólo obtiene datos, no puede ofrecerlos a otros clientes sin

depositarlos en un servidor. La mayoría de las computadoras que las personas

utilizan para conectarse y navegar por Internet son clientes.

85

Cliente/Servidor (Client/Server): Sistema de organización de interconexión de

computadoras según el cual funciona Internet, así como otros tantos sistemas de

redes. Se basa en la separación de las computadoras miembros en dos categorías:

las que actúan como servidores (oferentes de información) y otras que actúan como

clientes (receptores de información).

Cookies (galletitas): Pequeños archivos con datos que algunos sitios Web

depositan en forma automática en las computadoras de los visitantes. Lo hacen con

el objetivo de almacenar allí información sobre las personas y sus preferencias. Por

ejemplo, la primera vez que un navegante visita un site y completa algún formulario

con sus datos y perfil, el sistema podrá enviarle una cookie al asignarle una

identificación. Cuando el usuario retorne, el sitio Web pedirá a la computadora cliente

la cookie y, a través de ella, lo reconocerá.

Cracker: Individuo con amplios conocimientos informáticas que desprotege/piratea

programas o produce daños en sistemas o redes.

Criminología.- Ciencia social que estudia las causas y circunstancias de los distintos

delitos, la personalidad de los delincuentes y el tratamiento adecuado para su

represión.

Dirección electrónica (electronic address): Serie de caracteres que identifican

unívocamente un servidor (por ejemplo, grafikacr.com), una persona (

[email protected] ) o un recurso (un sitio Web como http://www.grafikacr.com ) en

Internet. Se componen de varias partes de longitud variable. Las direcciones son

convertidas por los DNS en los números IP correspondientes para que puedan viajar

por la Red.

DNS Sistema de nombres de Dominio (Domain Name System).: Base de datos

distribuida que gestiona la conversión de direcciones de Internet expresadas en

lenguaje natural a una dirección numérica IP. Ejemplo: 121.120.10.1

86

Dominio (Domain): Sistema de denominación de Hosts en Internet. Los dominios

van separados por un punto y jerárquicamente están organizados de derecha a

izquierda. ejemplo: arrakis.es

E-mail (electronic mail o correo electrónico): Servicio de Internet que permite el

envío de mensajes privados (semejantes al correo común) entre usuarios. Basado en

el SMTP. Más rápido, económico y versátil que ningún otro medio de comunicación

actual. También utilizado como medio de debate grupal en las mailing lists.

Firewall.- Literalmente " Muro de Fuego". Se trata de cualquier programa que

protege a una red de otra red. El firewall da acceso a una maquina en una red local a

Internet pero Internet no ve mas alla del firewall.

Hacker.- Experto en informática capaz de de entrar en sistemas cuyo acceso es

restringido. No necesariamente con malas intenciones.

Host.- Ordenador conectado a Internet. Ordenador en general. Literalmente anfitrión.

Internauta.- Es un neologismo resultante de la combinación de los términos Internet

y del griego ναύτης (nautes, navegante), utilizado normalmente para describir a los

usuarios habituales de Internet. En esencia denomina a una persona que navega en

Internet visitando páginas web y, por extensión, a cualquier persona que haciendo

uso de una aplicación en una computadora obtiene información de Internet, o

interactúa con otras personas: correo electrónico, compartir archivos, discusiones en

foros, etc. Se cree que el término se originó en Francia.

Internet.- Red informática mundial, descentralizada, formada por la conexión directa

entre computadoras u ordenadores mediante un protocolo especial de comunicación.

Internic.- Entidad administrativa de Internet que se encarga de gestionar los

nombres de dominio en EEUU. Centro de información que almacena documentos de

Internet: RFCs y borradores de documentos. Organismo que se ocupa de otorgar

grupos de números IP y direcciones electrónicas a cada organización que desee

87

conectarse a Internet, garantizando que sean únicas. Más datos en

http://www.internic.net/ .

IP Protocolo de Internet (Internet Protocol).- Bajo este se agrupan los protocolos

de internet. También se refiere a las direcciones de red Internet.

Login.- Proceso de seguridad que exige que un usuario se identifique con un nombre

(user-ID) y una clave, para poder acceder a una computadora o a un recurso.

Navegador.-Aplicado normalmente a programas usados para conectarse al servicio

WWW.

Phishing.- Es un término informático que denomina un tipo de delito encuadrado

dentro del ámbito de las estafas cibernéticas, y que se comete mediante el uso de un

tipo de ingeniería social caracterizado por intentar adquirir información confidencial

de forma fraudulenta (como puede ser una contraseña o información detallada sobre

tarjetas de crédito u otra información bancaria). El estafador, conocido como phisher,

se hace pasar por una persona o empresa de confianza en una aparente

comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema

de mensajería instantánea o incluso utilizando también llamadas telefónicas.

Victimología.- Es una ciencia que estudia científicamente a la víctima y su papel en

el hecho delictivo.

World Wide Web o W3 o WWW: Conjunto de servidores que proveen información

organizada en sites, cada uno con cierta cantidad de páginas relacionadas. La Web

es una forma novedosa de organizar toda la información existente en Internet a

través de un mecanismo de acceso común de fácil uso, con la ayuda del hipertexto y

la multimedia. El hipertexto permite una gran flexibilidad en la organización de la

información, al vincular textos disponibles en todo el mundo. La multimedia aporta

color, sonido y movimiento a esta experiencia. El contenido de la Web se escribe en

lenguaje HTML y puede utilizarse con intuitiva facilidad mediante un programa

88

llamado navegador. Se convirtió en el servicio más popular de la Red y se emplea

cotidianamente para los usos más diversos: desde leer un diario de otro continente

hasta participar de un juego grupal.

NEOCONSTITUCIONALISMO

Nuestra constitución del 2008, proclama que el Ecuador es un Estado constitucional

de derechos y justicia (Artículo 1), en tanto que en la constitución de 1998 se

expresaba que el Ecuador era un Estado de Derecho. Antes de la Constitución

vigente no había modo o mecanismo para reclamar por la violación a garantías del

derecho al debido proceso, con el manido argumento de la independencia y

autonomía de la función judicial – a lo que se agregaba – que con la Corte

Constitucional se pretendería crear una instancia judicial superior, que afectaría a la

intangibilidad de la cosa juzgada, a la seguridad jurídica, y en definitiva a la sabiduría

de los jueces, pues es inadmisible un control de constitucionalidad que afectare a la

cosa juzgada.

Luis Prieto Sanchís nos ilustra al manifestar que con la expresión,

neoconstitucionalismo, constitucionalismo contemporáneo, o a veces simplemente

constitucionalismo, se alude a una presunta nueva cultura jurídica, y que se pueden

identificar cuatro acepciones principales.20

En éste ámbito conceptual el neoconstitucionalismo presenta una faz estructural,

presupuesto esencial de dicho modelo, que persigue los siguientes elementos

caracterizadores:

1) Carácter normativo o fuerza vinculante de la constitución;

2) Supremacía de la constitución dentro del sistema de fuentes;

3) Eficacia o aplicación directa de la ley fundamental;

20. LUIS PRIETO SANCHÍS, Justicia Constitucional y derechos fundamentales, Ob. cit. p. 101- 102.

89

4) Garantía judicial;

5) Presencia de un denso contenido normativo que tiene como destinatarios a los

ciudadanos en sus relaciones con el poder y con los particulares, integrados por

principios, derechos y directrices más o menos precisos;

6) Rigidez constitucional, cuanto más costosa sea la posibilidad de alterar el texto

fundamental por mayoría legislativa, mayor fortaleza tendrá el modelo constitucional.

El neoconstitucionalismo como teoría del derecho describe o explica los elementos

caracterizantes del modelo y puede sintetizarse evolutivamente en:

1) Más principios que reglas. Corresponde señalar que tanto los principios como las

reglas son normas porque señalan lo que debe ser. Pero los principios son normas

abiertas que presentan un condicionante fáctico– mandatos de optimización-

fragmentado o indeterminado y que necesariamente serán cerrados por la justicia

constitucional mediante los procesos de interpretación y ponderación. Los derechos

fundamentales presentan, en general, la estructura de los principios, y posibilita que

los procesos de determinación o delimitación de sus contenidos contemplen –en

sentido plural- la mayor cantidad de opciones, visiones o planes de vida de los

integrantes de una sociedad.21

2) Más ponderación que subsunción. En un estado de derecho, todos los derechos

fundamentales poseen a priori y en abstracto la misma jerarquía, caso contrario no

habría que ponderar ya que se impondría el de mayor importancia. Es buscar la

mejor decisión cuando en la argumentación concurren razones justificadoras

conflictivas del mismo valor.22, para que un ordenamiento jurídico sea considerado

como impregnado por disposiciones constitucionales.

21 Ver ANDRES GIL DOMÍNGUEZ, Neoconstitucionalismo y derechos colectivos, p. 54, Ediar,

2005, Buenos Aires.

22 LUIS PRIETO SANCHÍS, Justicia Constitucional y derechos fundamentales, p. 189, Trotta

España 2003.

90

ORALIDAD

El principio de la oralidad es definido como el predomino de la palabra sobre la

escritura. Constituye una garantía para la efectiva vigencia de otros principios

procesales como son la inmediación, contradicción y celeridad. Coincidimos con

cierta parte de la doctrina que contempla a la oralidad como un mecanismo que

facilita un sistema de comunicación más eficaz entre los sujetos procesales y los

medios probatorios.

Indiscutiblemente, con el nuevo modelo procesal penal, la etapa del juicio oral es

pública y contradictoria con los correspondientes registros auditivos; sin embargo, las

etapas de investigación preparatoria e intermedia tienen marcos de escrituralidad

El sistema acusatorio es un modelo procesal contrapuesto al condenable sistema

inquisitorio. El nombre del sistema se justifica por la importancia que él adquiere la

acusación, siendo que ella resulta indispensable para que se inicie el proceso, pues

el imputado debe conocer detalladamente los hechos por los cuales se les somete a

juicio. En este sentido, al juez que debe ser imparcial e independiente, le toca decidir

teniendo como sustento las pruebas aportadas tanto por la parte acusadora como

por la defensa en un plano de paridad.

Precisamente, una de las características del sistema procesal acusatorio es la

oralidad.

REFORMA

Una reforma supone la modificación de la Ley de un Estado. La Reforma tiene por

objeto una revisión parcial de una Ley y la sustitución de una o varias de sus normas

que no modifiquen la estructura y principios fundamentales del texto.

91

TECNOLOGIAS DE LA INFORMACIÓN Y COMUNICACIÓN (TIC´S)

Las Tecnologías de la Información y la Comunicación son un conjunto de servicios,

redes, software y aparatos que tienen como fin la mejora de la calidad de vida de las

personas dentro de un entorno, y que se integran a un sistema de información

interconectado y complementario. Esta innovación servirá para romper las barreras

que existen entre cada uno de ellos.

VENTAJAS:

Brindar grandes beneficios y adelantos en salud y educación.

Desarrollar a las personas y actores sociales a través de redes de apoyo e

intercambio y lista de discusión.

Apoyar a las personas empresarias, locales para presentar y vender sus

productos a través de la Internet.

Permitir el aprendizaje interactivo y la educación a distancia.

Repartir nuevos conocimientos para la empleabilidad que requieren muchas

competencias.

Ofrecer nuevas formas de trabajo, como teletrabajo

Dar acceso a la salida de conocimientos e información para mejorar las vidas

de las personas.

Facilidades

Exactitud

Menores riesgos

Menores costos

DESVENTAJAS:

Falta de privacidad

Aislamiento

Fraude

92

Pérdida los puestos de trabajo

FUNDAMENTOS FILOSÓFICOS Y AXIOLÓGICOS DE LA UNIANDES

El Modelo Educativo de la UNIANDES se fundamenta en un conjunto de ideas,

enfoques y criterios de orden filosófico, y axiológico, que se exponen a continuación:

La función social de la Universidad radica en el principio de del Dr. Gustavo Álvarez

Gavilanes, “Educar para la vida”, es decir en la responsabilidad de aportar a la

construcción de un vínculo entre la universidad, el estado y la sociedad para la

búsqueda de soluciones inter y transdisciplinarias a los grandes problemas sociales

como la pobreza, la violencia, la intolerancia, el analfabetismo, el deterioro del

ambiente entre otros y responder a las necesidades de desarrollo del Ecuador, a la

demanda social y profesional que justifique la oferta de la carrera con prospectiva de

desarrollo científico, humanístico , tecnológico y de diversidad cultural.

La UNIANDES en su misión considera la producción de conocimiento y formación

profesional, enmarcados en la formación del ser humano.

En estas dimensiones están implícitas en "formación integral" de los seres humanos,

formar la personalidad integralmente, significa que todos los agentes socializadores y

formativos y en particular la institución escolar en cualquier nivel de enseñanza

diseñe un proceso docente - educativo donde se optimice el uso de todas las

potencialidades educativas que tienen los diferentes escenarios de formación de los

niños y jóvenes.

Sobre estas consideraciones filosóficas y pedagógicas la Universidad Regional

Autónoma de los Andes, UNIANDES, está incursionando en una nueva cultura de

formación e investigación, para lo cual se direcciona con responsabilidad la meta de

la formación de profesionales humanistas, con capacidad crítica, con pensamiento

93

estratégico en función de los intereses del conjunto de la población, es decir

sensibles al contexto, lo que se traduce en la apropiación de la problemática social,

en la exigencia de establecer relaciones de confianza con las comunidades, en la

búsqueda de nuevos esquemas de la profesión, ligados al mundo del trabajo, es

decir una formación integral del estudiante con predominio de lo humano a lo

cognoscitivo, de lo procedimental que consolide sus competencias específicas para

el desempeño laboral y en relación con los valores, la ética social, el sentido de

pertinencia, de la equidad social y el vínculo social.

No hay duda que los nuevos escenarios de la formación profesional en un mundo

incierto exigen a las carreras un cambio profundo en su estructura y en el

pensamiento de los docentes y estudiantes para adaptarse, adecuarse e integrarse a

una formación profesional crítica, capaz de incidir, participar, acompañar y liderar los

cambios políticos, sociales, económicos y culturales del entorno.

2.3.- Idea a defender

Con la reforma al Código Penal, que tipifique el delito informático de phishing, se

evitará la impunidad y se garantizará el derecho a la propiedad.

2.4.- Variables

Variable Independiente

Reforma al Código Penal, en el que se tipifique el delito informático del phishing en el

Ecuador.

Variable Dependiente

Se evitara la impunidad y se garantizará el derecho a la propiedad.

94

CAPÍTULO III

MARCO METODOLÓGICO

3.1. Modalidad de Investigación.

La investigación es de tipo cuali-cuantitativa: Cualitativa, al tratarse de una

investigación de carácter social la interpretación de los hechos y acciones quedan al

arbitrio del investigador a través de la utilización de la amplia bibliografía que se

utiliza para explicar el problema; y, Cuantitativa, pues para interpretar los

fenómenos sociales utilizamos fórmulas matemáticas y estadísticas viables para la

selección de la muestra e interpretación de los datos, comportamiento de la

población frente al problema.

3.2. Tipos de Investigación

3.2.1 Por su diseño

TIPOS DE DISEÑOS MODALIDAD PARADIGMÁTICA CUALITATIVA

Teoría

Fundamentada

Son estudios predominantemente teóricos. Su propósito es

desarrollar la teoría en base a datos empíricos obtenidos en la

propia investigación, más que en estudios previos.

Investigación-

Acción

Su finalidad es resolver problemas cotidianos e inmediatos y

mejorar prácticas concretas. Como propósito fundamental está

aportar información que guíe la toma de decisiones para

programas, procesos y reformas estructurales. La investigación-

acción construye el conocimiento por medio de la práctica diaria

en la que se desenvuelven los sujetos que son analizados.

95

3.2.2 Por su alcance

Exploratoria Tienen por objeto esencial la familiarización con un

fenómeno o concepto desconocido o poco estudiado.

Descriptiva Para analizar cómo es y cómo se manifiesta un fenómeno y sus

componentes

Explicativa Dirigidas a encontrar las causas que provocan determinados

fenómenos o procesos.

3.3. Población y Muestra.

La población que se establece para la presente investigación, es decir el universo se

compone de Operadores de Justicia del Cantón Guayaquil, Abogados en Libre

Ejercicio Profesional y los Usuarios o Socios de la Cámara de Comercio Guayaquil.

POBLACIÓN NÚMERO

OPERADORES DE JUSTICIA 20

ABOGADOS EN LIBRE EJERCICIO EN

LA CIUDAD DE GUAYAQUIL

30

USUARIOS O SOCIOS DE LA

CÁMARA DE COMERCIO DE

GUAYAQUIL

15

TOTAL 65

Por ser la población menor de 100, la encuesta se aplica a la totalidad.

96

3.4.- Métodos, Técnicas e Instrumentos de la Investigación.

3.4.1.- Métodos

Los métodos se clasifican en métodos del nivel empírico y métodos del nivel teórico y

matemáticos.

a) MÉTODOS DEL NIVEL EMPÍRICO DEL CONOCIMIENTO

Estos métodos constituyen un conjunto de acciones prácticas que realiza el

sujeto investigador con el objeto, para determinar sus rasgos y regularidades

sobre la base senso-perceptual, algunos son:

Observación Científica

La observación es la acción y efecto de observar (examinar con atención,

mirar con recato, advertir). Se trata de una actividad realizada por los seres

vivos para detectar y asimilar información. El término también hace referencia

al registro de ciertos hechos mediante la utilización de instrumentos.

La observación forma parte del método científico ya que, junto a la

experimentación, permite realizar la verificación empírica de los fenómenos.

La mayoría de las ciencias se valen de ambos recursos de manera

complementaria.

Medición

Una medición es el resultado de la acción de medir. Este verbo, con origen en

el término latino metiri, se refiere a la comparación que se establece entre una

cierta cantidad y su correspondiente unidad para determinar cuántas veces

dicha unidad se encuentra contenida en la cantidad en cuestión.

97

Experimento

Experimento es la acción y efecto de experimentar (realizar acciones

destinadas a descubrir o comprobar ciertos fenómenos). El procedimiento es

muy habitual en el marco de la labor científica para tratar de ratificar una

hipótesis.

Recolección De Información

Entre los métodos de recolección de información, se encuentran:

o La entrevista

La Entrevista es la comunicación interpersonal establecida entre investigador y

el sujeto de estudio a fin de obtener respuestas verbales a los interrogantes

planteados sobre el tema propuesto.

EL ENTREVISTADO deberá ser siempre una persona que interese a la

comunidad. El entrevistado es la persona que tiene alguna idea o alguna

experiencia importante que transmitir.

EL ENTREVISTADOR es el que dirige la Entrevista debe dominar el dialogo,

presenta al entrevistado y el tema principal, hace preguntas adecuadas y

cierra la Entrevista.

o La encuesta

Para obtener datos estadísticos de los diferentes aspectos a estudiarse.

La encuesta es un instrumento exploratorio que ayuda a identificar variables

como tipos de información, tipos de diseño y sus relaciones para sugerir

hipótesis.

98

Con esta técnica se conoce lo que opinan o piensan los encuestados

mediante preguntas escritas sin la presencia del encuestador.

La investigación por encuesta tiene 3 fases:

Fase teórico conceptual: consiste en tener definido el objetivo y el correcto

diseño del estudio.

Fase Metodológica: El propósito debe ser motivador, coherente y alcanzable;

es decir no demasiado extremo o sencillo.

Fase de Estadística- Conceptual: Si la población es numerosa se realiza un

muestreo representativo que permita generalizar resultados.

o Criterio de expertos

La evaluación de expertos se emplea para comprobar la calidad y efectividad

de los resultados de las investigaciones, tanto en su concepción teórica como

en su aplicación en la práctica social, es decir, el impacto que se espera

obtener con la aplicación de los resultados teóricos de la investigación en la

práctica, cuando resulta imposible o muy difícil realizar las mediciones

por métodos más precisos, como puede ser el experimento, o cuando se

desea la valoración de los expertos antes de realizar un experimento para

prever posibles factores de fracaso.

En la presente investigación, se aplicarán los siguientes métodos de nivel empírico

del conocimiento:

LA ENCUESTA

En nuestro proyecto elaboramos encuestas dirigidas a los estudiantes para:

1. Conocer si realmente saben qué es el delito de phishing.

99

2. Si consideran necesario la implementación de la tipificación en el

Código Penal.

CRITERIO DE EXPERTOS

Con el cual se obtiene información de parte de los funcionarios del Ministerio Público,

funcionarios judiciales y abogados en el libre ejercicio profesional para comprobar

la calidad y efectividad de los resultados de las investigaciones, tanto en su

concepción teórica como en su aplicación en la práctica social, es decir, el impacto

que se espera obtener con la aplicación de este proyecto.

b) MÉTODOS DE NIVEL TEÓRICO DE CONOCIMIENTO

Son aquellos que permiten revelar las relaciones esenciales del objeto de

investigación; son fundamentales para la comprensión de los hechos y para la

formulación de la hipótesis de investigación. El investigador se centra en el

estudio y análisis de las imágenes o modelos que reflejan esencialmente los

componentes y relaciones del fenómeno.

El método general por excelencia es el método científico el cual, además de

ayudar al investigador a comprender la estructura y la dinámica del objeto, le

permite descubrir la contradicción que es la fuente del automovimiento y

desarrollo del fenómeno.

Entre los métodos teóricos de investigación se encuentran los siguientes:

Histórico-Lógico;

Estudia la trayectoria real de los fenómenos y acontecimientos en el de

cursar de su historia.

Las primeras directrices son:

100

o La heurística (localización y recopilación de las fuentes

documentales que son la materia prima del historiador).

o La crítica que se refiere al trabajo con las fuentes documentales.

Consiste en inferir de la semejanza de algunas características

entre dos objetos, la probabilidad de que las características

restantes sean también semejantes. Los razonamientos

analógicos no son siempre validos.

o Crítica externa (quien lo produjo, donde, cuando y la

procedencia)

o Crítica interna (es la credibilidad es decir que su contenido sea

creíble)

Analítico-Sintético

Consiste en la extracción de las partes, se distinguen los elementos y

se revisa cada uno por separado para ver su relación.

El análisis de un objeto se realiza a partir de la relación que existe entre

los elementos que conforman el objeto como un todo. La Síntesis se

produce sobre la base de los resultados.

El análisis de un objeto significa comprender sus características a

través de las partes que lo integran, es hacer una separación de sus

componentes y observar periódicamente cada uno de ellos, al fin de

identificar tanto su dinamia particular como las relaciones de

correspondencia que guardan entre sí y dan origen a las características

generales que se quiere conocer.

El sintético se manifiesta en forma contraria al analítico, pues parte

reuniendo los elementos del todo, previamente separados,

101

descompuestos por el análisis. Es labor de volver a reunir las partes

divididas por el análisis, ya previamente examinadas.

Inductivo-Deductivo

Es el razonamiento que parte de un caso particular a uno general.

Para los proponentes de este esquema la ciencia se inicia con

observaciones individuales, a partir de las cuales se plantean

generalizaciones cuyo contenido rebasa el de los hechos inicialmente

observados. Las generalizaciones permiten hacer predicciones cuya

confirmación las refuerza y cuyo fracaso las debilita y puede obligar a

modificarlas o hasta rechazarlas.

El método inductivo-deductivo acepta la existencia de una realidad

externa y postula la capacidad del hombre para percibirla a través de

sus sentidos y entenderla por medio de su inteligencia. Para muchos

partidarios de este esquema, también nos permite explotarla en nuestro

beneficio

Hipotético-Deductivo

El método hipotético-deductivo es el procedimiento o camino que sigue

el investigador para hacer de su actividad una práctica científica. El

método hipotético-deductivo tiene varios pasos

esenciales: observación del fenómeno a estudiar, creación de una

hipótesis para explicar dicho fenómeno, deducción de consecuencias o

proposiciones más elementales que la propia hipótesis, y verificación o

comprobación de la verdad de los enunciados deducidos

comparándolos con la experiencia. Este método obliga al científico a

combinar la reflexión racional o momento racional (la formación de

102

hipótesis y la deducción) con la observación de la realidad o momento

empírico (la observación y la verificación).

Modelación

Método mediante el cual se crean abstracciones con vistas a explicar la

realidad. El modelo como sustituto del objeto de investigación. En el

modelo se revela la unidad de lo objetivo y lo subjetivo.

Se dice que la modelación es el método que opera en forma práctica o

teórica con un objeto y no en forma directa utilizando para ello cierto

sistema intermedio, auxiliar, natural o artificial.

Enfoque Sistémico.

La Metodología Sistémica como nuevo enfoque que, con el enfoque

de sistemas y la intertransdisciplina, forman los tres conjuntos que

interactúan formando un sistema que integra los conceptos básicos

fundamentales para el desarrollo del estudio y aplicación de sistemas.

La presente investigación, se basará en los siguientes métodos de nivel teórico del

conocimiento:

MÉTODO HISTÓRICO-LÓGICO

Se aplica este método para realizar una comparación entre los años pasados

respecto al análisis de la evolución de las tecnologías tanto sus ventajas, como el

acceso de información; y como desventajas podemos encontrar los delitos

informáticos que están en todo su apogeo en la actualidad.

MÉTODO LÓGICO INDUCTIVO

En este proyecto se estudiaron los elementos que forman el objeto de la

investigación estos el conocimiento sobre el delito de phishing, su importancia para la

tipificación en el nuevo Código Integral Penal

103

MÉTODO ANALÍTICO-SINTÉTICO

Para este proyecto realizamos el análisis en cuanto a conocimiento con ayuda

tecnológica, puesto que hoy en día es muy necesaria la aplicación de las TICS en la

educación y en el ejercicio de la profesión. Luego relacionamos los elementos que

conforman el objeto estos son: operadores de justicia, profesionales, usuarios.

c) MÉTODOS MATEMÁTICOS

Matemáticos

En ciencias aplicadas, un Modelo matemático es uno de los tipos de modelos

científicos, que emplea algún tipo de formulismo matemático para expresar

relaciones, proposiciones sustantivas de hechos, variables, parámetros,

entidades y relaciones entre variables y/o entidades u operaciones, para

estudiar comportamientos de sistemas complejos ante situaciones difíciles de

observar en la realidad.

En concreto en matemáticas se trabajan con modelos formales. Un modelo

formal para una cierta teoría matemática es un conjunto sobre el que se han

definido un conjunto de relaciones unarias, binarias y trinarias, que satisface

las proposiciones derivadas del conjunto de axiomas de la teoría. La rama de

la matemática que se encarga de estudiar sistemáticamente las propiedades

de los modelos es la teoría de modelos.

Estadísticos

La estadística es una ciencia formal que estudia la recolección, análisis e

interpretación de datos de una muestra representativa, ya sea para ayudar en

la toma de decisiones o para explicar condiciones regulares o irregulares de

algún fenómeno o estudio aplicado, de ocurrencia en

forma aleatoria o condicional.

104

Sin embargo, la estadística es más que eso, es decir, es la herramienta

fundamental que permite llevar a cabo el proceso relacionado con

la investigación científica.

La presente investigación, se basará en los métodos matemáticos y estadísticos:

MÉTODOS MATEMÁTICOS Y ESTADÍSTICOS

Para realizar un estudio sobre si es viable o no la reforma al Código Penal, se

aplican cuando se necesita un valor numérico como solución a un problema, en este

caso, conocer si el delito de phishing se debería introducir en el Código Penal, donde

dichos resultados se interpretarán mediante gráficos estadísticos.

d) OTROS MÉTODOS

Dependiendo del tema de investigación, del conocimiento del investigador, del

tipo de problema planteado, y de las necesidades, se pueden utilizar otros

métodos, entre ellos el Triángulo de Pascal, que es una representación de los

coeficientes binomiales ordenados en forma triangular.

3.4.2.- Técnicas

a) FICHAJE

El fichaje es una técnica auxiliar de todas las demás técnicas empleada en

investigación científica; consiste en registrar los datos que se van obteniendo en los

instrumentos llamados fichas, las cuales, debidamente elaboradas y ordenadas

contienen la mayor parte de la información que se recopila en una investigación por

lo cual constituye un valioso auxiliar en esa tarea, al ahorrar mucho tiempo, espacio y

dinero.

105

b) TABULACIÓN DE DATOS

El proceso de tabulación consiste en el recuento de los datos que están contenidos

en los cuestionarios. En este proceso incluimos todas aquellas operaciones

encaminadas a la obtención de resultados numéricos relativos a los temas de estudio

que se tratan en los cuestionarios. Se requiere una previa codificación de las

respuestas obtenidas en los cuestionarios. Realizamos tabulación, codificación y

diseño de gráficos con datos biográficos, de consumo o de opinión. Los resultados

serán presentados en tablas y/o mapas gráficos que expliquen las relaciones

existentes entre las diversas variables analizadas.

La presente investigación, se basará en la siguiente técnica de investigación:

TABULACIÓN DE DATOS

En el presente caso, al utilizar como técnica de recolección de datos la encuesta

dirigida a los Administradores de Justicia, Abogados en Libre Ejercicio, y Socios de la

Cámara de Comercio, para poder analizar los mismos, se debe aplicar la tabulación

para poder realizar un análisis e interpretación de los resultados obtenidos.

3.4.3 Instrumentos

a) GUÍA DE ENTREVISTA

El protocolo es una ayuda de memoria para el entrevistador, tanto en un sentido

temático (ayuda a recordar los temas de la entrevista) como conceptual (presenta los

tópicos de la entrevista en un lenguaje cotidiano, propio de las personas

entrevistadas).

b) FORMULARIO DE ENCUESTA

Es una pieza de papel que contiene datos y espacios en blanco para registrar

información variable, el cuál tendrá diferente utilización según el área funcional a la

cual pertenezca. Puede considerarse también como un instrumento de trabajo cuyo

106

objetivo es transportar información para simplificar y facilitar el desarrollo de los

procedimientos.

Los formularios presentan una visión ordenada de múltiple información sobre algo, y

son útiles para llenar bases de datos.

c) FICHAS BIBLIOGRÁFICAS

Las fichas bibliográficas contienen los datos de identificación de un libro o de algún

documento escrito sobre el objeto de estudio. Estas fichas se hacen para todos los

libros o artículos que pueden ser útiles a la investigación, no solo para los que se han

leído. En ellas se registran las fuentes encontradas, por ejemplo, en el catálogo de

una biblioteca, en una bibliografía, en colecciones de publicaciones. (Anexo 8).

Requiere los siguientes datos:

1. Autor

2. Título

3. Editorial

4. Año de edición

d) FICHAS NEMOTÉCNICAS

Son aquellas que sirven para anexar los aspectos más importantes del contenido de

un libro, de una revista o de un artículo periodístico tales como: conceptos.- Las

fichas nemotécnicas sirven para retener aspectos dentro de la fuente de información,

que se utilizarán en el desarrollo del trabajo escrito y la investigación en general.

(Anexo 9).

La presente investigación, se basará en los siguientes instrumentos de investigación:

107

CUESTIONARIOS.

En la realización y esquematización de temas y subtemas de gran importancia en la

realización del presente proyecto acerca del derecho del defensa del procesado y

sus garantías constitucionales.

GUÍA DE ENTREVISTA.

Con las cuales se obtiene información de parte de los funcionarios del Ministerio

Público, funcionarios judiciales y abogados en el libre ejercicio profesional.

108

3.5.- Interpretación de Resultados

3.5.1. Encuesta a los Operadores de Justicia de la Corte Provincial de Justicia

del Guayas

1.- ¿Sabe usted qué es el delito de phishing?

ANALISIS CUANTITATIVO

RESPUESTA NÚMERO PORCENTAJE

Si 17 85

No 3 15

20 100%

INTERPRETACIÓN:

17 de los Operadores de Justicia de Guayaquil, que representan al 85% de la

población encuestada respondieron que si a la pregunta.


población encuestada respondieron que no a la pregunta.

De los resultados obtenidos, nos damos cuenta que de la mayoría de los Operadores

de Justicia conocen sobre el delito de phishing, por lo tanto es viable la propuesta.

109

2.- ¿En el Código Penal se encuentra tipificado y sancionado el delito de

phishing?



Si 2 10

No 18 90

20 100%

INTERPRETACIÓN:


población encuestada respondieron que si a la pregunta.


población encuestada respondieron que no a la pregunta.

De los resultados obtenidos, nos damos cuenta que de la mayoría de los Operadores

Justicia indican que no se encuentra tipificado y sancionado el delito de phishing, por

lo tanto es viable la propuesta.

110

3.- ¿Considera que se debe reformar el Código Penal para incluir la sanción

del delito de phishing?



Si 18 90

No 2 10

20 100%

INTERPRETACIÓN:

18 de los Abogados en libre ejercicio profesional en Guayaquil, que representan al

90% de la población encuestada respondieron que si a la pregunta.


10% de la población encuestada respondieron que no a la pregunta.

De los resultados obtenidos, nos damos cuenta que de la mayoría de los Abogados

en libre ejercicio profesional considerar necesario reformar el Código Penal para que

se tipifique el delito de phishing, por lo tanto es viable la propuesta.

111

3.5.2. Encuesta a los Abogados en Libre Ejercicio Profesional




Si 18 60

No 12 40

30 100%

INTERPRETACIÓN:






en libre ejercicio profesional conocen sobre el delito de phishing, por lo tanto es

viable la propuesta.

112

2.- ¿En el Código Penal se encuentra tipificado y sancionado el delito de

phishing?



Si 5 16,66

No 25 83,33

30 100%

INTERPRETACIÓN:






en libre ejercicio profesional indican que no se encuentra tipificado y sancionado el

delito de phishing, por lo tanto es viable la propuesta.

113

3.- ¿Considera usted que se debe reformar el Código Penal para incluir la

sanción del delito de phishing?



Si 27 90

No 3 10

30 100%

INTERPRETACIÓN:






en libre ejercicio profesional están de acuerdo en que se debe reformar el Código

Penal para que se tipifique el delito de phishing, por lo tanto es viable la propuesta.

114

3.5.3. Encuesta a los Socios de la Cámara de Comercio de Guayaquil




Si 3 20

No 12 80

15 100%

INTERPRETACIÓN:

3 de los Socios de la Cámara de Comercio de Guayaquil, que representan al 80% de

la población encuestada respondieron que si a la pregunta.

12 de los Socios de la Cámara de Comercio de Guayaquil, que representan al 80%

de la población encuestada respondieron que no a la pregunta.


en libre ejercicio profesional no conocen sobre el delito de phishing.

115

2.- ¿El Comercio ha sido afectado por el nuevo delito de phishing?



Si 13 87

No 2 13

15 100%

INTERPRETACIÓN:


de la población encuestada respondieron que si a la pregunta.

2 de los Socios de la Cámara de Comercio de Guayaquil, que representan al 13% de

la población encuestada respondieron que no a la pregunta.

De los resultados obtenidos, nos damos cuenta que de la mayoría de los Socios de

la Cámara de Comercio de Guayaquil indican que no se encuentra tipificado y

sancionado el delito de phishing, por lo tanto es viable la propuesta.

116

3.- ¿Considera usted que se debe reformar el Código Penal para incluir la

sanción del delito de phishing?



Si 11 73

No 4 27

15 100%

INTERPRETACIÓN:


de la población encuestada respondieron que si a la pregunta.



De los resultados obtenidos, nos damos cuenta que de la mayoría de los Socios de

la Cámara de Comercio de Guayaquil, consideran necesario reformar el Código

Penal para que se tipifique el delito de phishing, por lo tanto es viable la propuesta.

117

CAPÍTULO IV

MARCO PROPOSITIVO

TÍTULO:

REFORMA AL CÓDIGO PENAL PARA TIPIFICAR Y SANCIONAR EL DELITO DE

PHISHING.

4.1 Desarrollo de la propuesta.

4.1.1 Caracterización de la propuesta

Se propone a reforma al Código Penal para agregar un artículo que deba tipificar y

sancionar el delito de phishing; lo que es necesario por la dinámica natural de la

sociedad, conociendo que su accionar no es estático, y que con el tiempo cambia al

igual que el comportamiento del individuo y también las ciencias y tecnologías de la

información, por ende es necesario la actualización de Código Adjetivo Penal, y de

paso a la tipificación y sanción a esta nueva era de delitos que se han creado por los

nuevos adelantos sociales y tecnológicos.

La ley siempre debe ser acorde a los tiempos que se viven, a los nuevos delitos,

evitando siempre la impunidad de los mismos.

4.1.2 Incidencia de la propuesta en la solución del problema.

Con esta reforma al Código Penal, los Administradores de Justicia, podrán juzgar el

delito de phishing con base en la normativa penal, más que todo, no quedarán en la

impunidad la creciente ola de delitos informáticos a través de la modalidad de

phishing que se han generado en el país, y que los mismos no han podido ser

sancionados porque no existía una ley que lo tipifique y reprima, citando entre ellos

algunos casos emblemáticos, como a la página web de la Presidencia, y demás

118

entidades públicas, tarjetas clonadas con perjuicios en alrededor de US$

6´000.000,oo, por lo que la propuesta que se ofrece con este proyecto, elaborando

un artículo para que sea introducido al Código Penal, deberá contar con previa

aprobación de la Asamblea Nacional para su posterior publicación en el Registro

Oficial.

4.2 Presentación detallada de la propuesta.

4.2.1 Exposición de Motivos

Se debe realizar una reforma al Código Penal existente porque no cubre las

necesidades actuales de convivencia social.

Porque algunas veces existen malas praxis legales de los operadores de justicia

(Policía, Fiscalía, Juzgados y Tribunales)

Porque es necesario actualizar el accionar de las instituciones por sus dinámicas

naturales.

REPÚBLICA DEL ECUADOR

FUNCIÓN LEGISLATIVA

ASAMBLEA NACIONAL

EL PLENO DE LA COMISIÓN LEGISLATIVA Y DE FISCALIZACIÓN.

CONSIDERANDO:

Que el artículo 3 de la Constitución de la República, indica que son deberes

primordiales del Estado, garantizar sin discriminación alguna el efectivo goce de los

derechos establecidos en la Constitución y en los instrumentos internacionales.

119

Que el artículo 18 de la Constitución de la República, establece el derecho a la

información, de que todas las personas, en forma individual o colectiva, tienen

derecho a acceder libremente a la información generada en entidades públicas, o en

las privadas que manejen fondos del Estado o realicen funciones públicas.

Que el artículo 66, en su numeral 19, de la Constitución de la República,

establece el derecho a la protección de datos de carácter personal, que incluya el

acceso y decisión sobre información y datos de este carácter, así como su

correspondiente protección. La recolección, archivo, procesamiento, distribución o

difusión de estos datos o información, requerirán la autorización del titular o el

mandato de la ley

En ejercicio de sus atribuciones constitucionales expide la siguiente:

LEY REFORMATORIA AL CÒDIGO PENAL QUE TIPIFICA EL DELITO DE

PHISHING.

Agréguese luego del artículo innumerado que sigue a continuación del artículo 553

del Código Penal, dentro del Título X de los delitos contra la propiedad del Capítulo II

del robo, el siguiente artículo:

Artículo innumerado.- Quien mediante el uso de un tipo de ingeniería social,

intente, logre adquirir información confidencial de forma fraudulenta, como puede ser

una contraseña o información detallada sobre tarjetas de crédito, cuentas corrientes,

claves de acceso a la banca virtual de cualquier entidad bancaria, haciéndose pasar

por una persona o empresa de confianza, realizando comunicación electrónica con el

cibernauta, ya sea mediante correo electrónico, mensajería instantánea, llamadas

telefónicas, falsedad de páginas institucionales, con el ánimo de apropiación de un

bien ajeno, o los que procuren la transferencia no consentida de bienes, valores o

derechos de una persona en perjuicio de esta o de un tercero, será sancionado con

pena privativa de libertad de seis meses a cinco años de prisión correccional.

120

Artículo Final.- Esta ley entrará en vigencia, a partir de su publicación en el Registro

Oficial.

4.3 Validación en la Propuesta.

La presente propuesta ha sido puesta en consideración de los especialistas, (Anexos

6 y 7) los mismos que concuerdan de que la propuesta constituye un aporte

significativo para la Administración de Justicia, dado que el phishing es una nueva

modalidad del delito informático y que no está estipulado en nuestra legislación

actual.

4.4 Por qué sancionar el delito de Phishing.

El hecho de que el delito cibernético ocupe un lugar destacado en la sociedad, la

misma debe informarse sobre las formas de prevención del delito y en el caso de ser

víctimas del mismo conocer que la Justicia Penal actualmente pone de relieve la

gran importancia que sigue teniendo este tema y los serios retos que plantea, y la

gran necesidad de incorporación al mismo dentro de la normativa penal.

En los últimos 50 años se han examinado y elaborado diversas soluciones para

hacer frente a la cuestión del delito cibernético. En parte, el tema sigue siendo

problemático porque la tecnología evoluciona constantemente y los métodos

utilizados para cometer esos delitos también cambian.

Actualmente se encuentro en todo auge la manipulación informática, el espionaje de

datos, por lo que el Ecuador necesita hacer frente a nuevos actos, tales como el

phishing, para los que no hay legislación penal.

La presente propuesta se enfoca en la elaboración de una respuesta jurídica, que

tiene el siguiente objetivo:

121

Prevenir y sancionar las conductas ilícitas que afectan los sistemas y datos

informáticos y otros bienes de relevancia penal, cometido mediante la

utilización de las tecnologías de la información (TIC’s) con la finalidad de

garantizar la lucha eficaz contra el delito de phishing.

EL DELITO INFORMÁTICO, es el que a través de las TIC´s, procura para sí un

provecho ilícito o para otro un provecho ilícito. Mediante:

Diseño de DI

Introducción de DI

Alteración de DI

Borrado de DI

Supresión de DI

Clonación de DI

O mediante:

Interferencia en el funcionamiento de un sistema informátic

Manipulación en el funcionamiento de un sistema informático

En perjuicio de un tercero

4.4.1. Comentario

El presente artículo sanciona la afectación de datos informáticos en su interacción

con un sistema informático o la alteración del normal funcionamiento del sistema

informático para la obtención de un provecho ilícito en perjuicio de un tercero.

Ejemplos:

La clonación de tarjetas; el uso de tarjetas de crédito en una página web; el traspaso

de fondos de una cuenta bancaria a otra.

122

4.4.2. Mecanismos para la aplicación de esta reforma:

La falta de una legislación adecuada que dé seguridad al comercio electrónico; La

falta de conocimiento de los beneficios del INTERNET, y; La implementación de fibra

óptica y escaso acceso al INTERNET han conseguido que en nuestro país exista una

incertidumbre respecto a la aplicación del comercio electrónico, que solamente se ha

desarrollado con el diseño de páginas web y la publicidad de productos o servicios

que las empresas ofrecen.

Pero el pueblo ecuatoriano ha entendido que ha llegado la hora de tomar el camino

del desarrollo, y todos y cada uno de los habitantes está consciente de querer

mejores días en base del esfuerzo conjunto.

Actualmente, la elaboración de leyes sobre el delito cibernético tiene lugar

principalmente a nivel internacional, la ley que actualmente regula los mensajes de

datos, las firmas electrónicas, los servicios de certificación, la contratación

electrónica y telemática a través de redes de información, incluido el comercio

electrónico y la protección de usuarios a estos sistemas, es la Ley de Comercio

Electrónico, Firmas Electrónicas y Mensajes de Datos, donde la misma netamente se

radica en impulsar el comercio tradicional y no tradicional mediante la aplicación de

nuevas tecnologías que permiten interrelacionar a comerciantes nacionales e

internacionales, en donde menciona que las infracciones informáticas se

considerarán las de carácter administrativo y las que se tipifican mediante el Código

Penal.

El Código Penal actual, no tipifica el delito de phishing, es por eso necesario el uso

de herramientas jurídicas que validen las transacciones realizadas por medios

electrónicos son fundamentales al momento de buscar seguridad para los negocios,

y las transacciones personales que se realizan.

123

4.4.2.1 Búsqueda de respuestas a las tendencias recientes

El delito cibernético evoluciona constantemente. Cuando se elaboraron instrumentos

como la Ley de Comercio Electrónico, Firmas Electrónicas y Mensaje de Datos, los

ataques de redes zombi, el “phishing” y el uso terrorista de Internet en gran escala no

se conocían, o no tenían la importancia que tienen hoy. Por consiguiente, esos

delitos no se tratan en disposiciones específicas.

Existe la necesidad de combatir esos nuevos fenómenos, en lo que respecta al

derecho penal sustantivo, esos fenómenos pueden tratarse aplicando las

disposiciones sobre la interferencia de sistemas o la falsificación informática, la

aplicación de los instrumentos procesales contenidos en los instrumentos existentes

es mucho más difícil, especialmente porque las tecnologías y los servicios que se

ofrecen en Internet (las redes sociales, por ejemplo) han cambiado

considerablemente.

La interceptación de las comunicaciones que utilizan la tecnología VoIP, la

admisibilidad de las pruebas digitales en las causas penales, los procedimientos para

investigar los casos en que se ha utilizado tecnología de cifrado o los medios de

comunicación anónima son problemas que, pese a ser urgentes, no se están

abordando a nivel nacional.

Es importante que se estudien estos asuntos, porque los instrumentos de

investigación tradicionales no suelen servir para investigar los delitos cibernéticos.

4.4.2.2 Aplicación de la Ley

Además de necesitar instrumentos jurídicos, la aplicación de la ley depende en gran

medida de la disponibilidad de instrumentos de investigación tales como programas

informáticos forenses (para reunir pruebas, registrar las pulsaciones de teclado y

124

descifrar o recuperar ficheros suprimidos) y programas informáticos o bases de datos

de gestión de la investigación (por ejemplo, con valores “hash” para imágenes de

pornografía infantil conocidas).

4.4.2.3 Fomento de la Capacidad

El delito cibernético es un problema no sólo en los países desarrollados sino también

en los países en desarrollo.

Un mayor apoyo podría ayudar a los organismos encargados de hacer cumplir la ley

a prepararse para los delitos que puedan cometerse cuando un mayor número de

usuarios disponga de acceso de banda ancha en el mundo en desarrollo.

4.4.2.4 Capacitación

Puesto que investigar los delitos cibernéticos y enjuiciar a las personas involucradas

en ellos plantea dificultades especiales, es importante impartir capacitación a los

funcionarios encargados de hacer cumplir la ley, los fiscales y los jueces. Como se

apreció en las encuestas realizadas en el presente proyecto un gran número de

Abogados, Jueces y Usuarios de la Cámara de Comercio de Guayaquil desconocen

lo que es el delito de phishing, el cuál es uno de los tantos delitos cibernéticos que

actualmente existen.

Investigar los delitos cibernéticos y enjuiciar a sus autores es difícil para todas las

instituciones que intervienen en ello. Habida cuenta de la complejidad de la cuestión

y del constante desarrollo técnico, la capacitación sostenida y cada vez más amplia

de todas las autoridades interesadas sigue siendo un aspecto crucial.

A fin de eliminar este tipo de delitos, se debería prestarse atención a colmar las

lagunas en la legislación vigente y promover la cohesión, la coherencia y la

compatibilidad de las leyes. Habida cuenta de la

125

Importancia de armonizar la legislación, estableciendo normas en relación con la

prevención del delito y la justicia penal.

4.5 Conclusiones y Recomendaciones

4.5.1 Conclusiones

Los sujetos o personas que realizan o cometen los delitos informáticos, en este caso

específico el delito de phishing, son los Hackers o criminales informáticos, que

aprovechan sus conocimientos (experto) de la informática (redes, programación, etc.)

para utilizar la vulnerabilidad de un sistema con un fin, obtener información privada.

Del análisis realizado a los diferentes tipos de delitos informáticos, el phishing es

una actividad es sumamente lucrativa, y en la gran mayoría de legislaciones

internacionales se la considera ilegal, la misma que no se encuentra establecida en

nuestra normativa penal.

Ecuador ha dado sus primero pasos con respecto a las leyes existentes, en las que

se contemplan especificaciones de la información y la informática, lo que se

considera un avance importante ante el desarrollo tecnológico que se ha tenido en

los últimos años en el país, pero es evidente que aún falta mucho por legislar, para

asegurar que no queden en la impunidad los actos que se comentan relacionados

con las tecnologías.

Frente a esta falencia legal, hay que agregar que este tipo de infracciones son

difíciles de descubrir o perseguir, debido a que los sujetos activos actúan

sigilosamente con herramientas capaces de borrar toda huella de intrusión o de la

consumación del delito; se debe ya impulsar estos avances tecnológicos que son

realidades sociales y para las cuales los ecuatorianos estamos casi indefensos.

126

4.5.2 Recomendaciones

En el caso del delito de phishing, es considerado dentro de la categoría de los delitos

contra la intimidad personal sea que se cometa por medio de las redes sociales o a

través de cualquier medio virtual: Correos, propaganda o publicidad, el cual no está

tipificados y con alcance transfronterizo, por ende es necesario que los profesionales,

usuarios en general que utilizan medios tecnológicos, se mantengan a la vanguardia

de conocer los avances que se den de ésta índole, y de esta manera mantenerse

preparados y reaccionar de manera adecuada ante los actos cometidos por la

delincuencia informática.

Aún el camino por conseguir una ley que realmente sirva como instrumento para

combatir estas nuevas modalidades delictivas es largo, sin embargo lo importante es

la prevención, mientras más rápido se desmaterializan nuestras actividades

cotidianas, más vulnerables somos si no nos educamos.

La Fiscalía General del Estado conjuntamente con la Superintendencia de Bancos y

la Asociación de Bancos Privados del Ecuador deberían apoyar esta propuesta de

reformar al Código Penal, con el afán de combatir los delitos informáticos en las

instituciones bancarias.

Más allá del delito de phishing, existen muchos más delitos informáticos como el

pharming, phreaking, que deben ser estudiados minuciosamente, y así obtener en el

Ecuador un marco regulatorio que permita sancionar todas las clases de delitos

informáticos.

Así mismo, el sector bancario del país debería dar más seguridades a todos sus

usuarios y clientes, debido a que ellos son los más afectados por el delito informático

de phishing, por ende los bancos deberían preocuparse mucho más por dar

seguridad a sus clientes de manera obligatoria, no esperando que el usuario

127

adquiera ese beneficio a través de un valor determinado, el mismo que debe ser de

manera gratuita, ya que así lo garantiza la actual Constitución de la República del

Ecuador.

La problemática planteada debe provocar nuevas propuestas por parte de los

estudiantes de postgrado en Derecho Penal y Criminología, las mismas que deben

ser apoyadas por parte de la Universidad a través de asignación de recursos para la

investigación de esta nueva ola de delitos informáticos.

Este tipo propuestas realizadas por parte de los estudiantes de Postgrado de la

UNIANDES, deben ser consideradas por los asambleístas de nuestro país, quienes

deben realizar de manera inmediata la incorporación de estos nuevos tipos penales

con el fin de crear leyes de protección de datos, privacidad de la información, datos

personales, autenticidad de páginas, etc, con el fin de que la persona que utiliza la

tecnología para realización de actividades ya sean comerciales o no, no se

encuentren siempre perjudicadas por personas que el único uso que le dan al

conocimiento que tienen sobre la tecnología sea el daño a un tercero para su

beneficio económico.

128

BIBLIOGRAFIA

1.- Télles Valdez, J. (1996): “Derecho Informático” (Segunda Edición). Edición Mc

Graw Hill. México.

2.- Moliner Ruiz, M. (1996): “Diccionario de María Moliner” (Edición Digital).

Copyright© Novel Inc.

3.- Definición elaborada por un Grupo de Expertos (1993): Invitados por la OCDE a

París.

4.- Carrión, H. (2001): "Presupuestos para la Punibilidad del Hacking". Tesis

5.- Lima de Luz, M. (1984): “Delitos Electrónicos” (Ediciones Porrúa). México.

6.- Serrahima, Joaquim. (2010): “La Amenaza Digital”. (Editor Bresca). España-

Barcelona.

7.- Schnier, B. (2000): “SECRETS & LIES Digital Security in a Networked World”

(Editorial: John Wiley & Sons - Díaz de Santos) USA-New York.

8.- Salellas, L. (2012): "Delitos informáticos-Ciberterrorismo" (Sr Hadden Security

Consulting Group) USA-New York.

10.- Valdés Domínguez, M. (2006): "Criminalidad Informática, un fenómeno de fin de

siglo" Cuba.

11.- Miembros del Consejo de Europa y otros Estados. (2001): “Convenio de Cyber-

delincuencia”. Budapest.

12.- Sarzana, C. (1979): “Criminalitá e Tecnología en Computer Crimer Asaggna

Penitenziaria e Criminalitá”. Roma.

13.- Ramírez, G. (2006): “Informática Forense”. Publicación Universidad San Carlos

de Guatemala

129

14.- Grupo Faro (2007): “Acción Colectiva para el Bienestar Público”. Cumplimiento

de la Ley LOTAIP. Ecuador.

15.- Diario el Telégrafo. (2008): “Transparencia en la Información Pública” (Edición

N° 45119). Ecuador.

16.- BSA e IDC (2007): Business Software Alliance BSA 5to Estudio Anual Global de

la Piratería.

17.- Gil Domínguez, A. (2005): Neoconstitucionalismo y Derechos colectivos

(Edición Ediar) Argentina-Buenos Aires.

18.- Sanchis, L. (2003): “Justicia Constitucional y derechos fundamentales”. España-

Trotta.

19.- Instituto Nacional de Tecnologías de la Comunicación. INTECO (2007): “Estudio

sobre la práctica fraudulenta conocida como pishing”. España

LEGISGRAFIA

1.- Constitución de la República del Ecuador

2.- Código Penal

3.- Código de Procedimiento Civil

4.- Ley Orgánica de Transparencia y Acceso a la Información Pública.

5.- Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos.

6.- Ley de Propiedad Intelectual.

7.- Ley Especial de Telecomunicaciones.

8.- Ley de Control Constitucional (Reglamento Habeas Data).

130

9.- Ley Modelo sobre Firmas Electrónicas, CNUDMI – Comisión de las Naciones

Unidas para el Derecho Mercantil Internacional, 2001,

LINCOGRAFIA

1.- Seguridad de la información http://www.segu-info.com.ar/legislacion/

2.- Barry Collin: http://www.af.mil/news/Feb1998/n19980206_980156.html

3.- Dorothy E. Denning: Special Oversight Panel on Terrorism, Committee on Armed

Services, de la cámara baja estadounidense:

http://www.cs.georgetown.edu/~denning/infosec/cyberterror.html

UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES UNIANDES - DSpace en...

Documents

Transcript of UNIVERSIDAD REGIONAL AUTÓNOMA DE LOS ANDES UNIANDES - DSpace en...