Escrito por Rodolfo Núñez Robinson (*)
- EL FENÓMENO DE LA INTERCONECTIVIDAD: EL CYBER LANDSCAPE
La interconectividad, si bien infinitamente útil, trae consigo un altísimo costo debido a las brechas generadas por el exponencial crecimiento de las tecnologías digitales y su desarrollo. Está fuera de toda duda que la interconectividad permite que varias personas puedan conectarse gracias al internet para alcanzar sus propósitos. De hecho, los invito a reflexionar sobre el impacto de la interconectividad y el internet en su vida diaria.
Probablemente todos tengamos un celular que, además de fungir como computadora, se encuentra siempre conectado al internet con todos nuestros datos, incluyendo nuestra ubicación. Así, el internet es omnipresente y, a veces, ni siquiera nos damos cuenta: sea en un par de audífonos, un reloj, una laptop, el rastreador que pueden tener nuestras mascotas, una máquina de resonancia magnética, nuestra Smart House o el sistema de seguridad nuclear de un país; todo se encuentra conectado al internet y, por lo mismo, es un potencial objetivo para un ciberataque.
Si bien el fenómeno de la interconectividad es de gran ayuda para la sociedad, no es menos cierto que ha creado un panorama diverso de riesgos y amenazas cibernéticos [1]; situación que se ve notoriamente agravada por la falta de sistemas de ciberseguridad y, lo que es peor, por la carente sensibilización frente a la cultura de ciberseguridad de las personas y organizaciones.
Lamentablemente, en varios países del mundo, incluyendo la gran mayoría de Latinoamérica -como lo es Perú-, se le resta importancia -o se ignora por completo- a la gestión de riesgos cibernéticos. Situación que impide que se pueda mitigar los potenciales daños catastróficos de los ciberataques en las empresas y en las personas; a pesar de ser, en la mayor parte del mundo, una necesidad empresarial crítica que permite que los negocios y los Estados puedan operar con seguridad y estabilidad.
Probablemente, una de las causas principales de este soslayo son las antiguas y soberanas generaciones que tienen a su cargo los altos cargos gerenciales de las empresas; quienes no creen en las ventajas de la tecnología y le dan la espalda a los potenciales riesgos catastróficos de un ciberataque en su organización. Precisamente, esta falta de previsión y sensibilización en ciberseguridad, que viene desde un plano vertical, impide que se adopte una cultura de prevención en sus actividades diarias, pues no existe un convencimiento por parte de sus líderes que sea transmitido en la cultura de la organización con el objetivo de mitigar potenciales daños.
Esta preocupante resistencia a la ciberseguridad genera un ambiente altamente atractivo para los cibercriminales, quienes aprovechan las falencias de seguridad -sean físicas o digitales-, para poder penetrar los sistemas y realizar los actos delictivos que sus ideologías y/o posturas motiven; no siendo el Perú ajeno a este tipo de delitos cibernéticos.
- ¿QUÉ SON LOS DELITOS CIBERNÉTICOS O CIBERCRÍMENES?: LA LEY N.° 30096 Y EL CONVENIO DE BUDAPEST
De manera directa, si queremos entender lo que nuestro Estado considera como un cibercrimen, podemos citar el artículo 1 de la Ley N.° 30096, Ley de Delitos Informáticos que fue publicada el 22 de octubre de 2013:
“La presente Ley tiene por objeto prevenir y sancionar las conductas ilícitas que afectan los sistemas y datos informáticos y otros bienes jurídicos de relevancia penal, cometidas mediante la utilización de tecnologías de la información o de la comunicación, con la finalidad de garantizar la lucha eficaz contra la ciberdelincuencia.”.
En ese sentido, un cibercrimen será una conducta reprochable que afecte los sistemas, redes y/o datos, así como otros bienes jurídicos, mediante el uso de tecnologías de la información o comunicación. Si bien esta es una definición correcta de los delitos cibernéticos, la misma es deficiente al carecer de una serie de elementos básicos que regulan la ciberseguridad y sobre lo cual podremos hablar en una siguiente oportunidad.
Por lo pronto, para tener una mejor comprensión sobre los delitos cibernéticos, debemos partir de la norma más importante en esta materia: el Convenio de Budapest del 23 de noviembre de 2001. Este convenio fue promovido por el Consejo Europeo y, en él, se fijaron los cimientos para los crímenes cibernéticos, así como herramientas de apoyo interestatal para perseguir el delito. Resulta notable la perspectiva, hace más de trece años, de los 31 países firmantes para ese entonces, tal como lo afirman en el Preámbulo de la mencionada norma.
Dicha norma supranacional recién fue aprobada por el Estado peruano mediante Resolución Legislativa N.° 30913, publicada en el Diario Oficial El Peruano el 13 de febrero de 2019 y ratificada por el Poder Ejecutivo mediante Decreto Supremo N.° 010-2019-RE, publicado en el Diario Oficial El Peruano el 10 de marzo del 2019; siendo que se dispuso que recién entre en vigencia el 1 de diciembre de 2019, según Separata Especial del Diario Oficial El Peruano publicada de 22 de setiembre de 2019. Es decir, recién nos adherimos a dicha tendencia proteccionista de la ciberseguridad luego de dieciocho años; a pesar de que forma parte de la Ley N.° 30096 en la Novena Disposición Complementaria Final. De hecho, de acuerdo con la Exposición de Motivos del referido Decreto de Urgencia, el Estado peruano afirma que, recién en el año 2018 y 2019, ha:
“[…] tomado la decisión de garantizar la transformación digital del Estado para el logro de los objetivos del país en el marco de la Política General de Gobierno […].
De igual manera, el Perú tomó la decisión de adherirse al Convenio de Budapest o Convenio contra la Ciberdelincuencia reconociendo la necesidad de fortalecer la regulación en materia de seguridad digital dado el avance de la digitalización y el crecimiento de los delitos cometidos en Internet. El Convenio de Budapest es el primer tratado internacional que busca hacer frente a los delitos informáticos y los delitos en Internet mediante la armonización de leyes entre naciones, la mejora de las técnicas de investigación y el aumento de la cooperación entre las naciones firmantes.
[…].”
(Resaltado agregado).
El Convenio de Budapest tuvo un profundo impacto en el mundo y, en especial, en los países que lo suscribieron y aquellos que se han ido adhiriendo -a febrero de 2024, se cuenta con 93 Estados, entre partes y observadores-. Es más, este convenio ha servido de directriz y/o ley modelo para que los demás países puedan desarrollar su normativa interna respecto a la ciberdelincuencia, siendo Perú, pues a pesar de su tardía adhesión, la utilizó como ley modelo, tal como podremos apreciar de su comparación.
Lo más relevante, de cara a un estudio en la materia, es tener en cuenta que esta norma internacional fija los parámetros elementales de los delitos cibernéticos en la mayor parte del mundo y constituye una herramienta de cooperación interestatal para la persecución del delito; por lo que debe entenderse como la norma principal en este tema, mutatis mutandis, con las declaraciones y reservas realizadas por cada país.
- ¿CUÁLES SON LOS DELITOS CIBERNÉTICOS EN EL PERÚ?: UNA MIRADA GENERAL
En la medida que el Perú realizó declaraciones y reservas al Convenio de Budapest respecto a los delitos cibernéticos y su tipificación, veamos brevemente cuáles son los delitos cibernéticos que se sancionan en nuestro país. Para ello, procedemos a resumir las conductas típicas a continuación:
- Acceso ilícito (artículo 2 de la Ley N.° 30096 y artículo 2 del Convenio de Budapest): el acceso deliberado e ilegítimo a todo o parte de un sistema informático (con o sin autorización).
- Atentado a la integridad de datos informáticos (artículo 3 de la Ley N.° 30096 y artículo 4 del Convenio de Budapest): el daño, introducción, supresión, deterioro o, en general, cualquier tipo de acto que atente contra la integridad y/o disponibilidad de datos informáticos de manera ilegítima.
- Atentado a la integridad de sistemas informáticos (artículo 4 de la Ley N.° 30096 y artículo 5 del Convenio de Budapest): la inutilización, total o parcial, de un sistema informático, su bloqueo, entorpecimiento o, en general, cualquier tipo de acto que atente contra la disponibilidad e integridad de los sistemas informáticos de manera ilegítima.
- Proposiciones a niños, niñas y adolescentes con fines sexuales por medios tecnológicos (artículo 5 de la Ley N.° 30096 y artículo 9 del Convenio de Budapest): el contacto mediante un medio tecnológico a menores de catorce años con el fin de solicitar y/u obtener material pornográfico, y/u proponer llevar a cabo cualquier acto de connotación sexual con él o un tercero.
- Interceptación de datos informáticos (artículo 7 de la Ley N.° 30096 y artículo 3 del Convenio de Budapest): la interceptación deliberada e ilegítima de datos informáticos en transmisiones no públicas, dirigidos a un sistema informático, originados en un sistema informático o efectuado dentro del mismo.
- Fraude informático (artículo 8 de la Ley N.° 30096 y artículo 8 del Convenio de Budapest): el diseño, introducción, alteración, borrado, supresión, clonación de datos informáticos o cualquier interferencia o manipulación deliberada e ilegítima en el funcionamiento de un sistema informático realizada con el fin de causar perjuicio a un tercero.
- Suplantación de identidad (artículo 9 de la Ley N.° 30096): suplantar la identidad de una persona natural o jurídica mediante el uso de tecnologías digitales, causando perjuicio material, moral o de cualquier otra índole.
- Abuso de mecanismos y dispositivos informáticos (artículo 10 de la Ley N.° 30096 y artículo 6 del Convenio de Budapest)): la fabricación, diseño, desarrollo, venta, facilitación, distribución, importación u obtención para su utilización de uno o más mecanismos, programas informáticos, dispositivos, contraseñas, códigos de acceso o cualquier otro dato informático, específicamente diseñados para la comisión de los delitos previstos en la Ley N.° 30096; o quien preste u ofrezca dichos servicios delictivos.
- Delitos relacionados con infracciones de la propiedad intelectual y de los derechos afines (artículo 10 del Convenio de Budapest y las disposiciones contenidas en los Capítulos I y II del Título VII del Código Penal): las infracciones de la propiedad intelectual de conformidad con las obligaciones que haya contraído en aplicación del Acta de París de 24 de julio de 1971, cuando tales actos se cometan deliberadamente, a escala comercial y por medio de un sistema informático.
Del mismo modo, se considera como delito las infracciones de los derechos de conformidad con las obligaciones que asumidas en aplicación de la Convención Internacional sobre la Protección de los Artistas Intérpretes o Ejecutantes, los Productores de Fonogramas y los Organismos de Radiodifusión (Convención de Roma), del Acuerdo sobre los aspectos de los derechos de propiedad intelectual relacionados con el comercio y del Tratado de la OMPI sobre Interpretación o Ejecución y Fonogramas cuando tales actos se cometan deliberadamente, a escala comercial y por medio de un sistema informático.
- CONCLUSIONES
Los delitos cibernéticos son especialmente relevantes en el Perú y en el mundo debido a la omnipresencia de la interconectividad y la digitalización de la vida cotidiana. La proliferación de dispositivos conectados a internet, desde teléfonos móviles hasta sistemas de seguridad nacional, ha creado un vasto panorama de vulnerabilidades que los cibercriminales buscan explotar para sacarse un provecho ilícito.
A nivel global, los cibercrímenes son una gran preocupación, pues afectan la seguridad nacional, la economía, y la privacidad de los ciudadanos. Los ataques cibernéticos pueden paralizar infraestructuras esenciales, robar datos personales y financieros, y causar daños económicos significativos con un efecto catastrófico. En Perú, si bien reciente, la relevancia de los delitos cibernéticos se ve reflejada en la implementación de leyes como la Ley N° 30096 y la adhesión al Convenio de Budapest, que buscan establecer un marco legal para la prevención y sanción de estas conductas delictivas.
En particular, el Convenio de Budapest, destaca la necesidad de una política penal común y una cooperación internacional efectiva para enfrentar la ciberdelincuencia. La adhesión de Perú a este convenio, aunque tardía, subraya la importancia de alinear la legislación nacional con los estándares internacionales para mejorar la capacidad de respuesta ante los ciberataques.
Dicho ello, y a manera de conclusión, los delitos cibernéticos, a la fecha y para el futuro, son y serán los más relevantes en el Perú y el mundo debido a la dependencia creciente de la tecnología y la interconectividad, que expone a sociedades enteras a riesgos significativos que, a veces, ni siquiera tomamos en cuenta -o conocemos-.
(*) Sobre el autor: Abogado egresado de la Facultad de Derecho de la Pontificia Universidad Católica del Perú. Actualmente, es un destacado abogado especialista en Derecho Procesal, Constitucional y Ciberseguridad (gestión de riesgos). Asimismo, es Asociado Senior del Estudio Amprimo, Flury, Barboza & Rodríguez Abogados.
Referencias
[1] El término exacto y sobre el cual mucho se ha escrito es el «cyber threat landscape and cyber risks».
[2] “Convencidos de la necesidad de aplicar, con carácter prioritario, una política penal común con objeto de proteger a la sociedad frente a la ciberdelincuencia, en particular mediante la adopción de una legislación adecuada y la mejora de la cooperación internacional;
Conscientes de los profundos cambios provocados por la digitalización, la convergencia y la globalización continuas de las redes informáticas;
Preocupados por el riesgo de que las redes informáticas y la información electrónica sean utilizadas igualmente para cometer delitos y de que las pruebas relativas a dichos delitos sean almacenadas y transmitidas por medio de dichas redes;
[…]
Convencidos de que el presente Convenio es necesario para prevenir los actos que pongan en peligro la confidencialidad, la integridad y la disponibilidad de los sistemas, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos, garantizando la tipificación como delito de dichos actos, tal como se definen en el presente Convenio, y la asunción de poderes suficientes para luchar eficazmente contra dichos delitos, facilitando su detección, investigación y sanción, tanto a nivel nacional como internacional, y estableciendo disposiciones materiales que permitan una cooperación internacional rápida y fiable;”.
[3] CONSEJO EUROPEO (2024). Adhesión al Convenio sobre la Ciberdelincuencia: Beneficios. P. 2. Recuperado de: https://rm.coe.int/cyber-buda-benefits-8febrero2024-es/1680ae7115
[4] La Revisión del Convenio de Berna para la protección de las obras literarias y artísticas, del Acuerdo sobre los aspectos de los derechos de propiedad intelectual relacionados con el comercio y del Tratado de la OMPI sobre Derecho de Autor. El Perú aprobó su adhesión a este instrumento mediante Resolución Legislativa N.° 23979, publicada en el Diario Oficial El Peruano el 3 de noviembre de 1984.
[5] El Perú aprobó su adhesión a este instrumento mediante Resolución Legislativa N.° 23979, publicada en el Diario Oficial El Peruano el 3 de noviembre de 1984.
[6] Es el Anexo 1C del Convenio por el que se crea la Organización Mundial de Comercio de la cual el Perú es miembro desde su conformación en 1995.
[7] El Perú ratificó el Tratado de la OMPI sobre Interpretación o Ejecución y Fonogramas mediante Decreto Supremo N.° 017-2002-RE, publicado en el Diario Oficial El Peruano el 2 de marzo de 2002.