Policía Cibernética en México
Un delito informático es aquel que se comete con
ayuda de un equipo cibernético y tiene como particularidad el hecho de dejar
rastros tanto en los equipos con los que se comete el ilícito como los de la
víctima, y en muchas ocasiones, algunos servidores de terceros.
A la disciplina que lleva a cabo la búsqueda,
recopilación e investigación de dichos rastros se le conoce como Cómputo
Forense. Estos rastros son elementos que cuando se recopilan en forma
correcta pueden convertirse en evidencia perfectamente utilizable en un proceso
legal e incluso penal.
La afirmación anterior nos permite entender que
todo lo que suceda en los equipos de cómputo de una persona, empresa o
institución tras detectarse una intrusión puede ayudar o perjudicar un proceso
legal. El comprender los pasos necesarios ante un ataque cibernético y
llevarlos a cabo puede representar la diferencia entre lograr ubicar al
delincuente y procesarlo, o bien perderlo todo por falta de pruebas o elementos
sin valor probatorio. En ocasiones, la investigación forense digital puede ir
de la mano con una denuncia e incluso una demanda, sin embargo, toda reacción
debe estar guiada por una estrategia.
En el caso de una vulneración es importante que la
víctima, ya sea una persona o una empresa comprenda el costo derivado del
ataque, no sólo en detectar y cerrar accesos no autorizados, sino en la
información que pudiese haber sido robada y cómo podría afectar que dicha
información se publicara o cayera en malas manos, por ejemplo secretos
industriales, información sobre patentes o procedimientos confidenciales, e
incluso información médica o financiera de la víctima o de terceros. De igual
modo, la imagen que tiene la víctima puede verse dañada de conocerse el ataque
y su alcance.
Por lo anterior, más allá de ocultar el hecho la
víctima debe actuar de una forma sensata, ordenada y contundente. En caso de
empresas o instituciones, los altos mandos deben estar de acuerdo en levantar
las denuncias correspondientes y actuar apoyados por abogados e investigadores
forenses digitales expertos.
La Ley en México
México ya tiene legislación sobre ciertos delitos
informáticos. En particular, por ejemplo citamos el artículo 211 bis fracción I
del Código Penal Federal, que establece los fundamentos y la pena para quien
sin autorización modifique, destruya o provoque pérdida de información en
sistemas informáticos protegidos por algún mecanismo.
No obstante lo anterior, la ley general en sus
diversas modalidades aplica tanto en el mundo físico como en el mundo virtual.
Es decir, un fraude tipificado como tal en códigos civiles, mercantiles y/o
penales lo sigue siendo si dicho fraude usa medios informáticos para su
comisión. Las penas que marca la Ley son por tanto aplicables a dichos ilícitos
a menos que por la existencia de alguna ley particular pudiera aplicarse
supletoriedad de la misma, o incluso cuando por cuestión de comisión de
múltiples delitos por un mismo hecho, se puede llegar a considerar la
existencia de un concurso de delitos.
En México ya se ha procesado criminales que han
cometido delitos informáticos y cuyo rastro ha sido perfectamente identificado
y tornado en evidencia. Estos casos no sólo incluyen el acceso no autorizado a
equipos informáticos, sino también temas de violación de propiedad intelectual,
delitos derivados del acoso y el sexting, que pueden entenderse desde
lenocinio, pornografía infantil, estupro, delitos financieros, robo y
suplantación de identidad, fraude en grado de tentativa, fraude financiero y de
otras índoles, y varios de ellos con agravantes como la asociación delictiva.
El análisis forense y la
investigación digital
La comisión de delitos cibernéticos no es exclusiva
de equipos de cómputo. Virtualmente cualquier equipo electrónico que tenga una
capacidad de almacenamiento o memoria puede ser un elemento a analizarse en una
investigación digital. Esto incluye tanto servidores como cámaras fotográficas,
dispositivos GPS, unidades USB de almacenamiento, teléfonos celulares,
smartphones – desde iOS hasta Android y Blackberry – y tabletas.
Es vital entender que la información en los equipos
involucrados puede ser volátil y fácilmente sobre escrita. La fragilidad que
esto supone para una investigación obliga a que la decisión de investigar y que
las acciones mismas que preceden a la investigación y de hecho, la
investigación misma se lleven a cabo de inmediato y en forma perfectamente
planeada. Si la víctima tiene un plan de reacción ante contingencia y
vulneraciones, habrá que ponerlo en marcha de inmediato. Si no se tiene, se
debe acceder a expertos en a la brevedad que ayudarán a determinar qué se hará
como acción inmediata con los equipos involucrados – es decir, mantenerlos
conectados o no a la red, apagarlos o no, etcétera. Estas decisiones son
esenciales y de alto impacto en una investigación.
Ahora bien, sobre la investigación, de acuerdo al
tipo de delito del que se trate, es el tipo de trabajo que debe hacerse. No es
lo mismo investigar un delito consumado que uno en progreso, y del mismo modo,
no es lo mismo un delito que sólo supone pérdidas financieras que uno que pone
en riesgo la salud, la seguridad y/o la integridad de una persona o más, o que
podría representar incluso un riesgo de seguridad a un país. Habrá que aplicar
las técnicas científicas y analíticas a que se refiere el análisis forense con
el objeto de contestar las preguntas básicas: Qué, Quién, Cómo, Cuándo, Por
dónde y Por qué. Se debe hacer un levantamiento de evidencia siguiendo una
cadena de custodia conforme lo marca la ley para garantizar la integridad de la
evidencia, la información y al final del día la investigación. El cómputo
forense permite identificar, preservar, analizar y presentar la evidencia de
modo que sea aceptada en un proceso legal o investigación judicial.
Cómo denunciar en México
Depeniente de la Secretaría de Gobernación, en
México la Comisión Nacional de
Seguridades quien lleva a cabo la recepción de denuncias sobre delitos
informáticos y quien hace las investigaciones pertinentes para ubicar y
procesar a delincuentes y de este modo evitar incidentes futuros. Quien recibe
las quejas y denuncias en forma anónima es el Centro Nacional de Respuesta a Incidentes Cibernéticos de la Policía
Federal.
Puedes hacer tus denuncias anónimas a través
del Centro de Atención del
Comisionado (CEAC) en el teléfono 088 desde cualquier parte del
país o bien a través del correo electrónicoceac@cns.gob.mx. De igual modo el CEAC está en Twitter
en @CEAC_CNS y la página Web de la Comisión Nacional de
Seguridad es www.cns.gob.mx
Las denuncias también pueden hacerse a través de
los ministerios públicos (PGR o PGJs locales).
En cualquier caso, la denuncia debe ser asistida
por un abogado toda vez que en México aún hay un rezago importante en cuestión
de atención a delitos cibernéticos
El Código Penal Federal contiene
un capítulo que se refiere a esos delitos, denominado "Acceso
ilícito a sistemas y equipos de informática", seguramente las
legislaciones de los estados tienen un capítulo similar.
Te transcribo los artículos específicos que preven esos delitos:
ARTICULO 211 bis 1.- Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa.
Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a un año de prisión y de cincuenta a ciento cincuenta días multa.
ARTICULO 211 bis 2.- Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de uno a cuatro años de prisión y de doscientos a seiscientos días multa.
Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa.
A quien sin autorización conozca, obtenga, copie o utilice información contenida en cualquier sistema, equipo o medio de almacenamiento informáticos de seguridad pública, protegido por algún medio de seguridad, se le impondrá pena de cuatro a diez años de prisión y multa de quinientos a mil días de salario mínimo general vigente en el Distrito Federal. Si el responsable es o hubiera sido servidor público en una institución de seguridad pública, se impondrá además, destitución e inhabilitación de cuatro a diez años para desempeñarse en otro empleo, puesto, cargo o comisión pública.
ARTICULO 211 bis 3.- Al que estando autorizado para acceder a sistemas y equipos de informática del Estado, indebidamente modifique, destruya o provoque pérdida de información que contengan, se le impondrán de dos a ocho años de prisión y de trescientos a novecientos días multa.
Al que estando autorizado para acceder a sistemas y equipos de informática del Estado, indebidamente copie información que contengan, se le impondrán de uno a cuatro años de prisión y de ciento cincuenta a cuatrocientos cincuenta días multa.
A quien estando autorizado para acceder a sistemas, equipos o medios de almacenamiento informáticos en materia de seguridad pública, indebidamente obtenga, copie o utilice información que contengan, se le impondrá pena de cuatro a diez años de prisión y multa de quinientos a mil días de salario mínimo general vigente en el Distrito Federal. Si el responsable es o hubiera sido servidor público en una institución de seguridad pública, se impondrá además, hasta una mitad más de la pena impuesta, destitución e inhabilitación por un plazo igual al de la pena resultante para desempeñarse en otro empleo, puesto, cargo o comisión pública.
ARTICULO 211 bis 4.- Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa.
Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa.
ARTICULO 211 bis 5.- Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente modifique, destruya o provoque pérdida de información que contengan, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa.
Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente copie información que contengan, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa.
Las penas previstas en este artículo se incrementarán en una mitad cuando las conductas sean cometidas por funcionarios o empleados de las instituciones que integran el sistema financiero.
ARTICULO 211 bis 6.- Para los efectos de los artículos 211 Bis 4 y 211 Bis 5 anteriores, se entiende por instituciones que integran el sistema financiero, las señaladas en el artículo 400 Bis de este Código.
ARTICULO 211 bis 7.- Las penas previstas en este capítulo se aumentarán hasta en una mitad cuando la información obtenida se utilice en provecho propio o ajeno.
Te transcribo los artículos específicos que preven esos delitos:
ARTICULO 211 bis 1.- Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa.
Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a un año de prisión y de cincuenta a ciento cincuenta días multa.
ARTICULO 211 bis 2.- Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de uno a cuatro años de prisión y de doscientos a seiscientos días multa.
Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa.
A quien sin autorización conozca, obtenga, copie o utilice información contenida en cualquier sistema, equipo o medio de almacenamiento informáticos de seguridad pública, protegido por algún medio de seguridad, se le impondrá pena de cuatro a diez años de prisión y multa de quinientos a mil días de salario mínimo general vigente en el Distrito Federal. Si el responsable es o hubiera sido servidor público en una institución de seguridad pública, se impondrá además, destitución e inhabilitación de cuatro a diez años para desempeñarse en otro empleo, puesto, cargo o comisión pública.
ARTICULO 211 bis 3.- Al que estando autorizado para acceder a sistemas y equipos de informática del Estado, indebidamente modifique, destruya o provoque pérdida de información que contengan, se le impondrán de dos a ocho años de prisión y de trescientos a novecientos días multa.
Al que estando autorizado para acceder a sistemas y equipos de informática del Estado, indebidamente copie información que contengan, se le impondrán de uno a cuatro años de prisión y de ciento cincuenta a cuatrocientos cincuenta días multa.
A quien estando autorizado para acceder a sistemas, equipos o medios de almacenamiento informáticos en materia de seguridad pública, indebidamente obtenga, copie o utilice información que contengan, se le impondrá pena de cuatro a diez años de prisión y multa de quinientos a mil días de salario mínimo general vigente en el Distrito Federal. Si el responsable es o hubiera sido servidor público en una institución de seguridad pública, se impondrá además, hasta una mitad más de la pena impuesta, destitución e inhabilitación por un plazo igual al de la pena resultante para desempeñarse en otro empleo, puesto, cargo o comisión pública.
ARTICULO 211 bis 4.- Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa.
Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa.
ARTICULO 211 bis 5.- Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente modifique, destruya o provoque pérdida de información que contengan, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa.
Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente copie información que contengan, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa.
Las penas previstas en este artículo se incrementarán en una mitad cuando las conductas sean cometidas por funcionarios o empleados de las instituciones que integran el sistema financiero.
ARTICULO 211 bis 6.- Para los efectos de los artículos 211 Bis 4 y 211 Bis 5 anteriores, se entiende por instituciones que integran el sistema financiero, las señaladas en el artículo 400 Bis de este Código.
ARTICULO 211 bis 7.- Las penas previstas en este capítulo se aumentarán hasta en una mitad cuando la información obtenida se utilice en provecho propio o ajeno.
No hay comentarios:
Publicar un comentario