Los delitos informáticos en tiempos de e-commerce | Fernando Portilla & Ana Lucía Taboada

1048
0
Compartir

Por Fernando Portilla Marzano* y Ana Lucía Taboada Cardenas**

Hace algunos años, era inimaginable pensar que se podría realizar compras de bienes y servicios a través de un solo click; sin embargo, ello ya no es una simple utopía. El comercio electrónico (o mejor llamado “e-commerce”) ha permitido que empresas de distinta magnitud (Grandes, Pymes y Mypes) hayan podido posicionarse dentro del mercado; obteniendo mayores transacciones a menores costos estructurales, contribuyendo al ecosistema de economía digital. Asimismo, considerando el brote del COVID-19 en nuestro país, el e-commerce se ha presentado como una alternativa que permite reactivar la economía al evitar suspender las actividades económicas de las empresas, especialmente en las Pymes y Mypes, además de posicionarse como una vía que permite resguardar la salud de los ciudadanos al evitar conglomeraciones en espacios físicos. Sin embargo, las empresas de e-commerce no se encuentran exentas de sufrir ataques dentro de sus sistemas operativos, los cuales pueden acarrear consecuencias graves tanto en el consumidor como en la propia empresa. De esta manera, será importante identificar los posibles escenarios en los cuales se afecte a las plataformas de e-commerce, los mismos que se encuentran sancionados bajo nuestro Código Penal, además de señalar las principales medidas reactivas y preventivas que se puedan considerar para evitar dichos ataques.

1. Cuestiones previas: definición, regulación y riesgos del e-commerce

De acuerdo a la Organización Mundial del Comercio[1], el e-commerce es “la producción, distribución, comercialización, venta o entrega de bienes y servicios por medios electrónicos». Dicho ello, el e-commerce es entendido como el canal que permite agilizar la intersección de la oferta y la demanda, pues, gracias al desarrollo de la tecnología y la expansión del internet, cada vez son más personas y empresas que pueden realizar cualquier transacción de manera rápida y eficiente. Así, el e-commerce cuenta con tres principales modalidades[2], como el B2B (realizado de empresa a empresa), B2C (realizado de una empresa a los consumidores) y B2G (realizado de una empresa al gobierno), los cuales han permitido mover un aproximado de USD 4 mil millones de dólares americanos en el 2019 y obtener 6 millones de compradores online.[3]

Asimismo, el e-commerce, a comparación del comercio tradicional, contiene mayores beneficios[4] como (i) mayor diversidad y disponibilidad de productos, (ii) mayor alcance geográfico (escalabilidad global), (iii) menor tiempo de compra, (iv) horario 24/7, (v) no requiere desplazamiento físico al comercio, (vi) mayores alternativas de precio-calidad y (vii) mayor trazabilidad de clientes (personalización). De esta manera, el e-commerce se posiciona como un medio satisfactorio dentro de la cadena de ventas, siendo una herramienta valiosa e imprescindible para el desarrollo de una Mype o Pyme.

En el ámbito regulatorio, desde el año 2018, el Indecopi viene trabajando un proyecto de ley que introduciría la figura del e-commerce dentro del Código de Protección al Consumidor[5]; no obstante, a la fecha no ha sido publicado. Sin embargo, el gobierno no ha sido ajeno a la presencia e importancia del e-commerce dentro del mercado peruano, por lo que recientemente publicó el Reglamento de la Ley No. 30877[6], Ley General de Bodegueros, el cual propone que gobiernos locales y regionales, así como otras entidades señaladas en la normativa, brinden capacitaciones y asistencia técnica sobre comercio electrónico y uso de herramientas de tecnologías de la información para el desarrollo de los negocios de los bodegueros. Del mismo modo, se publicó el nuevo Reglamento de Agencias de Viajes y Turismo[7], en donde regula, entre otros aspectos, los servicios de las Agencias prestados mediante canales digitales (e-commerce), estableciendo las condiciones e implicancias para el inicio de sus operaciones en el medio digital.

En ese sentido, es pertinente resaltar que el Perú ha firmado distintos acuerdos internacionales que reconocen al e-commerce como fuente de crecimiento económico y, por tanto, establecen disposiciones aplicables a los países miembros, tales como el TLC Perú-EEUU (Capítulo Quince) y el Acuerdo Marco de la Alianza del Pacífico (Capítulo Trece).

Conforme lo expuesto, el e-commerce involucra la presencia de distintos actores, tales como los comercios, las plataformas en línea, los operadores logísticos y los medios de pago electrónicos, los cuales, como mencionamos, se encuentran sujetos a posibles riesgos y ataques provenientes de terceros o miembros de la misma empresa. Tales riesgos podrían surgir desde que el consumidor ingresa sus datos personales y financieros dentro de la plataforma, ya que da lugar a que puedan ocurrir posibles compras fraudulentas, clonaciones de tarjetas de crédito o débito y suplantaciones de identidad.

En consecuencia, el Estado, no siendo ajeno a dichos actos delictivos, publicó la Ley No. 30096[8], y su posterior modificación mediante Ley No. 30171, (en adelante, “Ley”) la cual tiene como finalidad prevenir y sancionar las conductas ilícitas que afectan los sistemas y datos informáticos que son cometidos mediante la utilización de tecnologías de la información o de la comunicación. Por ello, el e-commerce es un espacio en donde se puede prestar a realizar dichas conductas delictivas, por lo que consideramos necesario conocerlas e identificarlas con la finalidad de estar prevenidos e informados.

2. Los delitos informáticos asociados al e-commerce

En base a lo expuesto en los párrafos anteriores, el e-commerce es un espacio que es pasible a la ejecución de ciertos delitos señalados en la Ley, los cuales buscan la afectación de los sistemas y datos informáticos bajo el mando de los ciberdelincuentes.

De esta manera, a fin de proteger estos bienes jurídicos, la Ley ha optado por acogerse a la definición expuesta en el artículo 1 del Convenio sobre Ciberdelincuencia, Budapest, 23.XI.2001, la cual define por sistemas informáticos a todo dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre sí, cuya función, o la de alguno de sus elementos, sea el tratamiento automatizado de datos en ejecución de un programa, asimismo define a los datos informáticos como toda representación de hechos, información o conceptos expresados de cualquier forma que se preste a tratamiento informático.[9]

A continuación, se detallan los delitos que afectan las transacciones dentro de las plataformas de e-commerce y a la logística de la empresa:

Delito Base legal Contenido Modalidades[10] Sanciones
 

 

 

 

 

Acceso ilícito

 

 

 

 

 

Artículo 2 de la Ley

 

 

El que deliberada e ilegítimamente accede a todo o en parte de un sistema informático, siempre que se realice con vulneración de medidas de seguridad establecidas para impedirlo.

Se manifiesta a través del “Data Breach” o brecha de información, el cual se materializa cuando el ciberdelincuente accede a la plataforma implementada por la empresa, accediendo a los datos personales y financieros registrados de los clientes dentro de la plataforma.

 

Pena privativa de libertad no menor de uno ni mayor de cuatro años y con treinta a noventa días-multa.

 

Atentado a la integridad de datos informáticos

 

 

 

 

 

Artículo 3 de la Ley

 

El que deliberada e ilegítimamente daña, introduce, borra, deteriora, altera, suprime o hace inaccesibles datos informáticos.

Se manifiesta a través del “Ransomware”, el cual se materializa cuando el ciberdelincuente se introduce a la base de datos y hace inaccesible el ingreso a terceros, secuestrando la información almacenada y poniendo en riesgo los datos de los consumidores registrados.

 

Pena privativa de libertad no menor de tres ni mayor de seis años y con ochenta a ciento veinte días-multa.

 

 

Atentado a la integridad de sistemas informáticos

 

 

 

 

 

 

Artículo 4 de la Ley

 

El que deliberada e ilegítimamente inutiliza, total o parcialmente, un sistema informático, impide el acceso a este, entorpece o imposibilita su funcionamiento o la prestación de sus servicios.

Se manifiesta a través del “Denial of Service”, el cual se materializa cuando el ciberdelincuente interrumpe e inutiliza la plataforma de e-commerce, causando un perjuicio económico a la empresa al no permitir el ofrecimiento de sus servicios, Asimismo, el delincuente puede crear distintas páginas web clonadas que permiten atraer a los consumidores y, con ellos, sus datos personales y financieros.

 

 

Pena privativa de libertad no menor de tres ni mayor de seis años y con ochenta a ciento veinte días-multa.

 

 

 

Fraude informático

 

 

 

 

 

 

 

Artículo 8 de la Ley

El que deliberada e ilegítimamente procura para sí o para otro un provecho ilícito en perjuicio de tercero mediante el diseño, introducción, alteración, borrado, supresión, clonación de datos informáticos o cualquier interferencia o manipulación en el funcionamiento de un sistema informático.

 

 

Se manifiesta a través del “Phishing” o “Pharming”, el cual se materializa cuando el ciberdelincuente redirige la conducción de los datos ingresados en una plataforma, interfiriendo con el funcionamiento adecuado con la finalidad de sustraer la información registrada por los usuarios.

 

 

Pena privativa de libertad no menor de tres ni mayor de ocho años y con sesenta a ciento veinte días-multa.

 

 

 

Suplantación de identidad

 

 

 

 

 

 

Artículo 9 de la Ley

 

El que, mediante las tecnologías de la información o de la comunicación suplanta la identidad de una persona natural o jurídica, siempre que de dicha conducta resulte algún perjuicio, material o moral.

 

Nos referimos a los casos en que el consumidor podría ser suplantado en base a la información proporcionada a la plataforma del e-commerce y que el delincuente utiliza a su beneficio. Algunos de estos casos son producto de Phishing, toda vez que gracias a esta modalidad ilícita se pudo acceder a sus datos personales y financieros.

 

 

Pena privativa de libertad no menor de tres ni mayor de cinco años.

Fuente: Elaboración propia.

Asimismo, el inciso 2 del artículo 11 de la Ley[11] detalla el conjunto de agravantes aplicables a los delitos detallados anteriormente, en donde el juez tiene la facultad de aumentar la pena privativa de la libertad hasta en un tercio por encima del máximo legal fijado. Dichos agravantes se configuran cuando:

[…]

  1. El agente comete el delito mediante el abuso de una posición especial de acceso a la data o información reservada o al conocimiento de esta información en razón del ejercicio de un cargo o función. (Resaltado nuestro).

[…]

En relación al texto resaltado, hacemos hincapié en el inciso 2 del artículo 11, toda vez que a lo largo del presente artículo se ha descrito que generalmente son terceros o personas externas a la organización quienes realizan actividades ilícitas; sin embargo, ello no impide que éstas sean cometidas por miembros de la propia organización, ya que tienen mayor posibilidad de acceder a la información de los usuarios utilizando mecanismos ilegales y/o violando protocolos de seguridad de la información propios de la empresa.

Asimismo, respecto a la responsabilidad de la persona jurídica frente a la omisión de un debido cuidado frente al accionar ilícito de uno de sus trabajadores internos, la Ley no ha tipificado dicho supuesto, no obstante, podemos interpretar su responsabilidad analógicamente en base a lo expuesto por el Art. 27 del Código Penal[12], además de englobar dicho riesgo como una medida de cumplimiento normativo (compliance) que la empresa deberá evaluar en el ejercicio de las funciones o cargos de sus trabajadores.

Por otro lado, es pertinente resaltar que la Ley No. 29733, Ley de Protección de Datos Personales, y el Decreto Supremo No. 003-2020-JUS, Reglamento de la Ley de Protección de Datos Personales (en adelante, “Normativa de Protección de Datos Personales”), disponen que el responsable del tratamiento de los datos personales (en este caso, la empresa que maneja la plataforma de e-commerce) debe cumplir con implementar las medidas de seguridad técnicas, organizativas y legales pertinentes a fin de garantizar un tratamiento de datos adecuado. Ello implica, entre otros aspectos, establecer una gestión de accesos y privilegios del sistema, verificación periódica de privilegios, generar y mantener registros de acceso y de salida del sistema, y tomar en consideración las recomendaciones del “NTP ISO/IEC 17799 EDI. Tecnología de la Información. Código de Buenas Prácticas para la Gestión de Seguridad de la Información.” en la edición que se encuentre vigente. Por tanto, en caso de incumplimiento de tales disposiciones, la Autoridad de Protección de Datos Personales puede llegar a imponer una multa ascendente a S/ 215,000 a la organización.

3. ¿Qué pueden hacer las empresas y los consumidores para mitigar riesgos y prevenir estos delitos?

La falta de seguridad en los sistemas implementados en las plataformas de e-commerce sumado al desconocimiento de los consumidores respecto a las medidas de seguridad a acatar en el proceso de transacciones comerciales electrónicas puede resultar un blanco fácil para que terceros (o internos de la organización) puedan llevar a cabo las conductas ilícitas expuestas anteriormente.

En ese sentido, la manera en la que podemos prevenir estos delitos y mitigar los riesgos a los que se exponen tanto las empresas como los consumidores son, principalmente, las siguientes:

Aplicable al consumidor Aplicable a la empresa

Verificar que la plataforma de e-commerce cuente con un certificado de seguridad, el mismo que se podrá corroborar en la parte superior de la página web, donde la dirección comienza con “HTTP” y a su lado se visualice el icono de un candado en la barra de navegación.

Implementar un manual de Seguridad de la Información aplicable a la plataforma de comercio electrónico, así como cumplir con las medidas dispuestas en la Normativa de Protección de Datos Personales en materia de seguridad.
Al momento de registrarse dentro de la plataforma de e-commerce, optar por una contraseña que cuente con caracteres especiales, letras mayúsculas y minúsculas, así como números. Además de ello, cambiar la clave frecuentemente y evitar reusarla en más de un solo servicio.

 

Implementar una pasarela de pagos (Ejem. PayPal) para el pago en línea, el cual cumple con una función intermediaria y omite la necesidad introducir los datos financieros de los usuarios, pues basta ingresando el correo electrónico del usuario para realizar la transacción electrónica.
Contratar un seguro de protección de tarjeta con la entidad bancaria que administra su estado financiero, a fin de mitigar un posible fraude o clonación de tarjeta en las compras que pueda realizar en las plataformas de e-commerce.

Implementar un certificado de seguridad dentro de la plataforma de e-commerce a fin de otorgar confianza al usuario sobre el tratamiento de sus datos. Asimismo, la entidad certificadora exige ciertos aspectos en materia de seguridad de la información lo cual le permitirá estar prevenido de posibles ciberataques.

Fuente: Elaboración propia.

4. Conclusiones

  • El avance de la industria sumado a la pandemia ocasionada por el COVID-19 motivan a una reingeniería comercial en lo que refiere a la forma tradicional que conocemos como “ofrecer y vender un servicio o producto”, en la cual el e-commerce se manifiesta como una solución ante esta problemática
  • Las empresas y sus representantes deben de preocuparse no solo por el aspecto comercial, sino también por la seguridad de la plataforma de e-commerce, a fin de evitar una posible responsabilidad penal por delitos que puedan afecten a sus consumidores.
  • Finalmente, en 2019, el 26% de las compañías online (e-commerce) reportaron haber sido atacadas más de una vez[13]. Si bien el internet ha permitido que distintas empresas se posicionen y alcance mayores ganancias a menores costos estructurales, ellas no se encuentran exentas a los posibles ataques y riesgos que hemos mencionado en el presente artículo, por lo cual es de suma importancia considerar los riesgos expuestos a fin de evitar perjudicar la buena imagen y reputación de las empresa, así como la seguridad de sus consumidores, brindado las medidas seguridad necesarias en sus plataformas de e-commerce con el objetivo de evitar cualquier acto ilícito en ella.

Imagen obtenida en https://bit.ly/3cxuhQ5 

*Estudiante de la Facultad de Derecho de la la Universidad Nacional Mayor de San Marcos y practicante en el Área de Solución de Conflictos (Litigios Penales) del estudio CMS Grau.

**Estudiante de la Facultad de Derecho de la Universidad del Pacífico y practicante en el Área de Nuevas Tecnologías y Protección de Datos Personales de CMS Grau.

[1] Organización Mundial del Comercio (WTO). Entender la OMC – Comercio Electrónico. Recuperado de: https://www.wto.org/spanish/tratop_s/ecom_s/ecom_s.htm. Consulta el 17 de mayo de 2020.

[2] Organización Mundial del Comercio (WTO). El comercio electrónico en los países en desarrollo. Oportunidades y retos para las pequeñas y medianas empresas (2013). Recuperado de: https://www.wto.org/spanish/res_s/booksp_s/ecom_brochure_s.pdf. Consulta el 24 de mayo de 2020.

[3] Observatorio de Ecommerce de la Cámara Peruana de Comercio Electrónico. Reporte Oficial de la Industria Ecommerce en Perú (2020). Recuperado de: https://www.capece.org.pe/observatorio-ecommerce/. Consulta el 24 de mayo de 2020.

[4]DN Consultores. Comercio electrónico y microempresa (2020). Recuperado de: http://dnconsultores.com/informe/inf2011ce/. Consulta el 24 de mayo de 2020.

[5] La Ley. Indecopi propone incorporar regular el comercio electrónico en el Código del Consumidor (2018).Recuperado de : https://laley.pe/art/5041/indecopi-propone-incorporar-reglas-sobre-comercio-electronico-en-el-codigo-del-consumidor. Consulta el 24 de mayo de 2020.

[6] Aprobado mediante Decreto Supremo No. 010-2020-PRODUCE de fecha 14 de mayo de 2020.

[7] Aprobado mediante Decreto Supremo No. 005-2020-MINCETUR de fecha 14 de mayo de 2020.

[8] La Ley No. 30096, Ley de Delitos Informáticos, fue promulgada el 21 y publicado el 22 de octubre del 2013 en El Peruano. Luego se promulgó la Ley No. 30171, Ley que modifica la Ley No. 30096, Ley de delitos informáticos, promulgada el 9 y publicado el 10 de marzo del 2014 en El Peruano.

[9] Ley No. 30096, Ley de Delitos Informáticos

Disposiciones Complementarias Finales

“NOVENA. Terminología

  1. Por sistema informático: todo dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre sí, cuya función, o la de alguno de sus elementos, sea el tratamiento automatizado de datos en ejecución de un programa.
  2. Por datos informáticos: toda representación de hechos, información o conceptos expresados de cualquier forma que se preste a tratamiento informático, incluidos los programas diseñados para que un sistema informático ejecute una función”.

[10] Internet Fraud-FBI. Common Scams and Crimes (2016). Recuperado de: https://www.fbi.gov/scams-and-safety/common-scams-and-crimes/internet-fraud. Consulta el 26 de mayo de 2020.

[11] Ley No. 30096, Ley de Delitos Informáticos

Artículo 11. Agravantes

El juez aumenta la pena privativa de libertad hasta en un tercio por encima del máximo legal fijado para cualquiera de los delitos previstos en la presente Ley cuando:

  1. El agente comete el delito en calidad de integrante de una organización criminal.
  2. El agente comete el delito mediante el abuso de una posición especial de acceso a la data o información reservada o al conocimiento de esta información en razón del ejercicio de un cargo o función.
  3. El agente comete el delito con el fin de obtener un beneficio económico, salvo en los delitos que prevén dicha circunstancia.
  4. El delito compromete fines asistenciales, la defensa, la seguridad y la soberanía nacionales.

[12] Artículo 27 del Código Penal: Actuación en nombre de otro

“El que actúa como órgano de representación autorizado de una persona jurídica o como socio representante autorizado de una sociedad y realiza el tipo legal de un delito es responsable como autor, aunque los elementos especiales que fundamentan la penalidad de este tipo no concurran en él, pero sí en la representada”.

[13] El Comercio. Vera Tudela, Víctor. La vulnerable industria del retail (2019). Recuperado de: https://elcomercio.pe/economia/dia-1/columna-vulnerable-industria-retail-victor-vera-tudela-noticia-ecpm-677685-noticia/. Consulta el 26 de mayo de 2020.

DEJA UNA RESPUESTA

Please enter your comment!
Please enter your name here