Versión en PDF
(Se abrirá una nueva pestaña,
click en Download para descargar
)

Origen del proyecto

Nuestro primer contacto con los delitos informáticos en Venezuela fue la desagradable experiencia de la clonación masiva de teléfonos celulares que ocurrió a finales de los años noventa. El usuario de una línea móvil encontraba en su cuenta cargos por llamadas a lugares donde no estaba precisamente el mayor número de sus contactos o relaciones, sitios como Singapur, Japón o Malasia, por citar un ejemplo; esta circunstancia, por cierto y por fortuna, permitía demostrar ante las compañías de telefonía celular la total alteración de los patrones de consumo habitual del usuario, que no guardaban relación alguna con la factura que le estaba llegando. Ese primer evento creó cierta desconfianza hacia las nuevas tecnologías, pero fue superada paulatinamente gracias a nuevas inversiones de estas empresas en materia de seguridad y, posteriormente, también a la adopción de mecanismos tales como el pago anticipado (compra de tarjetas de prepago) de las llamadas telefónicas que restaron atractivo a este tipo de fraude y redujeron el riesgo económico de un grueso número de consumidores.

Luego, tuvimos otro evento que también nos puso en contacto con delitos informáticos. Se trató de la clonación masiva de tarjetas de crédito y de débito. Esta segunda incursión motivó un esfuerzo mayor de los órganos de investigación penal y también de las instituciones emisoras de dinero electrónico para tratar de enfrentar el problema y procurar una salida adicional a la innegable necesidad de invertir más en seguridad, de modo que, si este factor resultase rebasado, pudiésemos contar con la certeza de la aplicabilidad de una sanción, porque es obvio que si estamos ante conductas que lesionan bienes jurídicos dignos de una mayor protección, la misión del derecho penal es la de procurar una respuesta.

Al evaluar nuestra situación respecto de ese punto encontramos para aquel momento graves carencias, dada la total imposibilidad de provocar una reacción que fuese útil en el sentido de que se lograse un efecto disuasivo inmediato hacia este nuevo tipo de delincuencia. Muchas veces los jueces, en casos como los descritos, intentaron buscar nuevas interpretaciones del Código Penal para poder encuadrar estas conductas pero, como es lógico, los casos carecían de sustento por una razón obvia: la del respeto al principio de legalidad; ciertamente, no puede adaptarse un tipo penal a una nueva situación cuando esa norma no ha sido concebida, no ha sido tipificada, no ha sido creada para esa situación específica; por ello, ante casos como los descritos, había que buscar una respuesta pronta porque estábamos en presencia de una delincuencia diferente, muy avezada, con mejores recursos, totalmente tecnificada, esto es, la delincuencia informática. De modo que nuestra Ley Especial contra Delitos Informáticos nace como consecuencia de esta inquietud original que es bueno identificar, puesto que es importante conocer de dónde surgen las cosas porque, a veces, se trajina con normas, elementos o instituciones jurídicas sin saber en el fondo si son un calco de figuras foráneas o, en general, cuáles han sido las influencias o circunstancias prevalecientes en un determinado proyecto. En este caso específico la Asamblea Nacional se planteó, dentro de su Comisión de Finanzas, la creación de una subcomisión especial para el estudio del fraude electrónico, foro éste que sirvió para canalizar y estudiar las numerosas denuncias relacionadas con estos hechos recibidas por el Instituto de Protección al Consumidor (Indecu) y el Cuerpo Técnico de Policía Judicial (hoy CICPC). El trabajo de esta sub-comisión, presidida por el diputado Carlos Tablante, dio el impulso necesario a la respuesta legislativa que se necesitaba.

La Ley Especial contra los Delitos Informáticos ha sido uno de los pocos instrumentos normativos que tuvo la ocasión -no todos la han tenido-de ser realmente participativo, tal como lo establece ahora la Constitución. Fuimos llamados a asesorar a la sub-comisión y asumimos la responsabilidad de realizar un estudio comparado de la legislación mundial en relación con este tipo de delitos y, paralelamente, de coordinar un trabajo multidisciplinario en el cual los expertos en tecnologías de información y seguridad informática brindaron sus conocimientos, puntos de vista y proyecciones futuras sobre el tema. Estos aportes fueron determinantes puesto que los proyectistas –en esta responsabilidad me acompañó la Dra. Magaly Vásquez González- aprovechamos el concurso de los expertos para aprender de ellos y plasmar en la ley soluciones viables y realistas. El proyecto fue consultado con sectores tanto públicos como privados, con sectores fundamentalmente vinculados con las TI, siglas con las que se identifican actualmente las tecnologías de información, que es el término apropiado para tratar toda esta materia puesto que engloba y sobrepasa el concepto individual de informática, electrónica o telemática, ya que envuelve absolutamente todo: no sólo abarca el almacenamiento de datos en forma masiva sino que involucra el tratamiento y manejo complejo de esos datos y su transmisión por redes entre lugares distantes; de manera que el término incluye absolutamente todo el espectro relativo a la automatización y utilización de la información en forma masiva, económica y rápida. Después de la validación de la parte técnica, era fundamental la consulta con quienes estaban lidiando realmente con los casos penales; en este sentido, fue decisivo el aporte del Circuito Judicial Penal de Caracas, cuyo presidente, el doctor Nelson Chacón Quintana contribuyó con importantes observaciones; asimismo, el Ministerio Público y el Cuerpo Técnico de Policía Judicial, a través de la jefatura y el personal de la División de Experticias Informáticas, hicieron aportes fundamentales gracias a sus registros estadísticos y al conocimiento práctico de numerosos modus operandi, todo lo cual contribuyó al afinamiento de los tipos penales que se concibieron. Gracias a ese esfuerzo conjunto esta ley tuvo por lo menos la virtud, con todos los errores que pueda tener, de ser, en primer lugar, multidisciplinaria y, en segundo lugar, actualizada, para retardar el peligro de obsolescencia inmediata. Ahora bien, todos estos aportes, así como el estudio de derecho comparado, permitieron identificar que el alcance del problema era mucho más amplio que los problemas específicos del fraude electrónico o la clonación de teléfonos celulares; advertimos, entonces, que el uso indebido de las tecnologías de información era algo muchísimo más complejo e importante ya que éstas estaban invadiendo todas las esferas de nuestra vida, lo quisiéramos o no.

La adopción de las tecnologías de información como instrumento de desarrollo

Las tecnologías de información comparten las características de la globalización: podemos simpatizar o no con ella, pero no podemos evadirla o fingir que no existe; lo cierto es que está ahí y lo más inteligente es lidiar con ella y ser competitivos en relación con ella, ya que ignorarla simplemente nos va a conducir al atraso y lo que hay que procurar es sensibilizarla, racionalizarla y convertirla en un instrumento útil para reducir las brechas diferenciadoras, para que las poblaciones aumenten su calidad de vida, para que nuestros países se desarrollen y pueda permear el progreso a todos los estratos de la población. Asimismo, la idea no es negar la tecnología ni desconocer toda la cantidad de fenómenos derivados de ella, sino tratar de convertirlos en herramientas que favorezcan el desarrollo del país. El estudio nos permitió identificar, entonces, cómo la incursión de los países en las tecnologías de información les ha permitido atraer inversiones y obtener recursos; por ello, primero los países desarrollados y luego, los restantes, decidieron que ese camino había que emprenderlo absolutamente. Tenemos un ejemplo muy interesante en nuestro hemisferio representado por Costa Rica, que ha tenido un crecimiento económico notable a través de políticas sostenidas de formación y capacitación de su población en tecnologías de información, al punto de producir y exportar tanto dispositivos como software. Costa Rica, en el año 2001, exportó más tecnología que México y Brasil juntos a pesar de tener un tamaño ínfimo y una población muy escasa en comparación con esos dos países. Costa Rica ha logrado eso, y sus niveles de avance, de progreso, de crecimiento económico constituyen una referencia importante en el mundo. Esto demuestra que la inversión económica requerida inicialmente no es tan alta como parece sino que el desarrollo comienza con la disposición de los dirigentes al cambio de paradigmas, con la identificación de la información y el conocimiento como nueva fuente de riqueza, con el ánimo de formarse y perderle el miedo a la innovación de modo que la población desarrolle vocaciones en el área, se vuelva eficiente y pueda empezar a ser competitiva. Imagínense ustedes lo que esto está representando en los últimos años para los profesionales y técnicos costarricenses que tienen un empleo estable, seguridad social, una movilidad que eleva la calidad su vida y expectativas de progreso para toda la población. Trasladando esta experiencia a un plano más general, vale la pena reseñar que el Programa de Naciones Unidas sobre el Desarrollo Humano (PNUD) escogió para su informe de 2001 el tema de las tecnologías de información y su influencia en el desarrollo humano; todas las experiencias descritas son muy alentadoras: los índices revelan cómo diversos países con problemas de atraso y poblaciones desfavorecidas han comenzado a ver resultados tangibles gracias a su incursión en las tecnologías de información que están deviniendo en instrumentos de desarrollo económico y de alcance de metas en beneficio del progreso de sus pobladores.

La revisión de los paradigmas en el campo del derecho

Esta innegable ventaja derivada de los nuevos modos de comunicarse, de intercambiar bienes y servicios, de hacer ciencia, de impartir conocimientos, todo en forma económica, masiva y democrática, ha rebasado las instituciones tradicionales e impulsado la revisión de los paradigmas jurídicos predominantes en relación con la interpretación de los contratos, la valoración de conductas o el valor probatorio de cualquier acto, los cuales siempre habían quedado plasmados a través del soporte escrito y encasillada su valoración dentro de ese formato. ¿Por qué los abogados estábamos tan apegados al documento escrito, es decir, a aquél cuyo contenido estaba vertido en el papel como única fuente capaz de conferirle valor probatorio? Muy sencillo, porque el documento escrito nos brindaba seguridad, nos garantizaba que el acto allí reflejado era auténtico porque, por ejemplo, en el caso del documento público, había alguien que lo avalaba con un cantidad de formalidades, con una cantidad de mecanismos en los que el Estado invirtió para garantizar que si nos otorgan el título de propiedad de una casa, ese derecho puede ser demostrado con certeza, o si alguien ante un Notario le vende su vehículo a otra persona, pues, evidentemente, de esa transacción queda un registro que hace fe pública. De manera pues que, cualquier negocio o cualquier actividad adquieren valor en la medida en que estén dotados de seguridad acerca de su existencia y sus condiciones, no sólo en el documento público puesto que, también en el documento privado, por una vía supletoria –la del reconocimiento de firmas o de la experticia-, se contaba igualmente con seguridad jurídica en torno a tres condiciones: la identificación del autor u otorgante, la certeza de su contenido y la posibilidad de detectar cualquier alteración. El documento escrito era nuestra garantía y por ello nos sentíamos cómodos con ella. ¿Qué ocurrió con las tecnologías de información? Pues, que nos desalojaron de nuestra comodidad puesto que el concepto tradicional de documento y las formalidades tradicionales exigidas para conferirle valor probatorio terminaron deviniendo en obstáculos que podían llegar a atascar las transacciones comerciales, las comunicaciones, el intercambio científico, las relaciones en general. Muchas administraciones públicas en distintos países comenzaron a identificar la ventaja de comunicarse y a prestar servicios on-line a sus ciudadanos para que éstos obtuviesen, por ejemplo, el acta de nacimiento de un hijo, la copia certificada de un acta de matrimonio, la solvencia de sus impuestos con la expedición del recibo correspondiente, todo ello en franca imitación del tráfico indetenible de transacciones comerciales realizadas entre empresas y particulares (B2C -por business to consumer-) y entre ellas mismas (B2B –por business to business-) a través del envío de correos electrónicos. En todas estas nuevas manifestaciones nos encontramos en presencia de documentos cuyo soporte, en muchos casos, no necesariamente está escrito y si lo está, no posee firma, o que, en general, carece de las características que nos inspirarían la confianza que sí nos otorgaría un documento tal como lo concebimos tradicionalmente. Afortunadamente, al revisar el paradigma jurídico del documento escrito nos dimos cuenta de que, además de los mensajes de texto que podemos percibir de manera inteligible, hay todo un cúmulo de información que puede estar contenida en soportes distintos del papel, presentada en formatos distintos del de texto (audio, video) que puede ser producida, transmitida y enviada a su lugar de destino con certeza de su procedencia -incluso de su autoría-, gracias a los rastros electrónicos que su tránsito deja y que pueden ser interpretados perfectamente con un razonable grado de seguridad a un costo de almacenamiento realmente mínimo. Al encontrar que podíamos contar con la misma confiabilidad del documento escrito en materia de autenticidad de firma y contenido, en materia de inalterabilidad de su integridad y en materia de detección de cualquier falsedad, cambió el concepto de documento para dar cabida al documento electrónico, cuyas características permitieron que el derecho cambiase el paradigma y admitiese el valor probatorio del documento electrónico. Muchos países en el mundo han introducido reformas en sus legislaciones o promulgado leyes nuevas precisamente con esta finalidad. En nuestro caso venezolano, el ordenamiento adjetivo tanto civil como penal acoge el principio de la libertad probatoria, de modo que no establece limitación alguna en esta materia desde el punto de vista de la naturaleza de la prueba o el soporte en el cual esté contenida.

La Ley Especial contra los Delitos Informáticos, dado su carácter sustantivo y la necesaria interpretación restrictiva de sus disposiciones, establece una definición de documento adaptada al nuevo concepto que no se limita al soporte escrito sino que admite los rastros electrónicos que pueden dar fe del envío de un mensaje de datos. La ley se refiere, entonces, a una secuencia, a una serie de letras, caracteres, cifras o cualquier otro signo, como son los asteriscos o números que en su expresión más básica no son más que ceros (0s) y unos (1s) en millones de combinaciones posibles que constituyen precisamente el lenguaje binario que es aquél en el que se convierten todas las instrucciones que reciben los dispositivos de los sistemas para realizar cualquier función. Cuando se envía un mensaje de datos por correo electrónico, ese mensaje se desagrega en paquetes y cada paquetito puede viajar por una ruta distinta dependiendo de las distancias; puede ser por banda ancha, por satélite, por cualquier vía que consiga disponibles y además, aun cuando los paquetes vayan encriptados (cifrados), ese encriptamiento también se desagrega, se descompone y se moviliza por vías distintas y, cuando llega al servidor, el documento se arma otra vez como un rompecabezas (si está encriptado llega así) y se convierte en lo que nosotros entenderíamos como algo inteligible pero, cuando el mensaje viaja por la red, lo hace de manera ininteligible en un lenguaje que es un protocolo (el más usado es el IP/TCP –protocolo de Internet y protocolo de control de transferencia) cuya propiedad de desagregar los mensajes es lo que permite que viajen de una manera tan veloz. Por eso es que nos llegan los correos electrónicos con tanta rapidez y, en el caso de que enviemos veinte a la vez, los veinte pueden llegar prácticamente al mismo tiempo. Entonces, esa secuencia que incluye cualquier carácter, cualquier símbolo o signo que puedan ser dotados inmediatamente o a posteriori (depende de si va libre o encriptado, respectivamente) de un significado inteligible, así sea sólo para los expertos, hace de ella un documento tan válido como el documento escrito tradicional. De modo que, dependiendo de la conducta que alguien haya desplegado en la red, hablando del caso de Internet -porque evidentemente hay delitos informáticos que no se cometen en Internet sino simplemente en computadoras conectadas por redes internas o en un computador al cual se acceda directamente- independientemente del soporte donde se encuentren los rastros o de las modalidades de transmisión de esos datos, se pueden obtener los registros de un servidor; asimismo, el experto en informática forense puede rescatar un documento escondido en una imagen; así como en el formato de texto se utiliza la criptografía para ocultar el significado del mensaje, la esteganografía se utiliza para ocultar la existencia del mensaje dentro de una imagen, el cual, al ser separado de ella, es perfectamente inteligible. Es obvio que bajo el viejo concepto de documento, todos estos hallazgos carecerían de relevancia jurídica y no podrían constituir evidencia; el cambio de paradigma permite superar ese límite mientras los elementos estén dotados de certeza suficiente para atribuirle valor probatorio a su contenido.

Características de las regulaciones de las tecnologías de información en el mundo

Este nuevo concepto de documento se reflejó en la evolución legislativa mundial de los últimos años que fue desarrollada por los países justamente para aprovechar las ventajas de las tecnologías de información. Por este mismo motivo, las primeras manifestaciones fueron de derecho regulatorio, signadas por el ánimo de incentivar las transacciones, los intercambios de bienes y servicios, en fin, la procura del desarrollo del comercio electrónico. Al margen de todo esto comenzaron a manifestarse conductas inconvenientes, abusivas, derivadas de tanta libertad, de la propia dinámica muy democrática pero un tanto caótica que ha caracterizado la expansión de las tecnologías de información. No hay que olvidar que todas las incipientes regulaciones en este campo se desplegaron bajo una filosofía parecida a la del respeto a la libertad de expresión: la de nunca coartar la red, de nunca coartar la tecnología, de preferir, ante las dudas, pecar por defecto de normas que por exceso de ellas. Por ello, el despliegue del derecho regulatorio partió inicialmente de los propios organismos internacionales. En los años ochenta, la Organización de Naciones Unidas promulgó una Ley Modelo (soft law) para regular todo lo relativo al comercio electrónico con la intención de que los países, con base en ella, unificaran criterios al adoptar normas de derecho interno vinculadas con este asunto. Se logró el cometido puesto que esta iniciativa sirvió de marco a la ley peruana, a la colombiana, a la mexicana y a la nuestra. La venezolana se conoce como Ley de Mensajes de Datos y Firmas electrónicas, adoptó muchas de las recomendaciones de la ONU y se encuentra a tono con la armonización que se pretendió entre todos los países. También la Organización de Naciones Unidas, a través de su Organización de Cooperación para el Desarrollo Económico (OCDE), dictó a comienzos de los años noventa normas de seguridad para los sistemas informáticos; posteriormente, el ICANN, organismo internacional que regula la administración de Internet estableció las reglas para la asignación de los nombres de dominio y constituyó un Comité ad hoc para arbitrar todos los conflictos en relación con la propiedad y derechos sobre un determinado nombre. Todas estas iniciativas estuvieron enmarcadas bajo la tendencia prevaleciente de estimular y fortalecer la interconexión, la integración y, en general, el establecimiento de reglas claras y justas que favorecieran la igualdad de oportunidades y el desarrollo armónico de las tecnologías de información como instrumentos de desarrollo.

Sin embargo, paralelamente a las ventajas de este desarrollo prácticamente sin límites al cual todos podrían acceder con solo proponérselo, resultó inocultable la percepción generalizada de que la red podía no ser tan segura como parecía ya que comenzaron a sentirse los efectos de conductas dañosas que, valiéndose de los conocimientos y habilidades de sus autores en esta área, afectaron bienes jurídicos relevantes y fueron vislumbradas como un peligro real que frustraba o, al menos, retardaba todos los beneficios derivados del desarrollo tecnológico. En efecto, en manos inescrupulosas, la flexibilidad de las redes, su facilidad de interconexión, en lugar de una ventaja comenzaba a representar un peligro: el de la vulnerabilidad en el resguardo de la información, el de la posibilidad de invasión a la privacidad de las personas, el de la afectación del patrimonio ajeno a través de operaciones electrónicas fraudulentas, entre otras nefastas manifestaciones. Lamentablemente, había llegado el momento de echar mano del derecho sancionatorio.

Respuesta penal adecuada a la criminalidad informática

La tipificación de estas conductas debió tener en cuenta las características distintas de este tipo de delincuencia en relación con los infractores tradicionales. Aquí estamos en presencia de un delincuente distinto, con buen nivel intelectual –nótese que digo “intelectual” y no “académico” ya que no necesariamente se trata de alguien con postgrados en el área, sino que puede tratarse simplemente de un sujeto que está sentado doce horas frente a un computador y es un autodidacta que termina siendo tanto o más eficiente que un ingeniero de computación para detectar vulnerabilidades y aprovecharlas para perjudicar a otros-; también estamos en presencia de alguien creativo e innovador, porque precisamente este tipo de delitos requiere de esa destreza generadora de nuevos modus operandi cada día. El reto de una ley que pudiese enfrentar la delincuencia informática con seriedad y realismo radicaba entonces, en la creación de tipos penales cerrados en resguardo del principio de legalidad, pero que fueran redactados de modo que las conductas fuesen descritas bajo una metodología que recogiese, de la forma más genérica posible, todas las posibles especificidades dentro de la actividad tildada como reprochable; tener ese cuidado era lo único que evitaría perder una tipificación adecuada por culpa de un pequeño detalle o un determinado modus operandi que volvería atípicas muchas conductas a pesar de que correspondiesen exactamente a la lesión del bien jurídico que se intenta proteger. Otra característica de estos delincuentes es que resultan ser muy narcisos. Muchas veces los delitos los cometen tan solo para jactarse de ellos, para exhibir su “marca”. Muchos hackers malos o crackers –delincuentes informáticos que dañan o sabotean los sistemas- hacen concursos, competencias, basan su liderazgo en la red e incrementan su curriculum con los records de cuántas páginas web han “jaqueado” –anglicismo que proviene de hacking, que describe hoy día el acceso ilegal y el daño o sabotaje a dominios ajenos en Internet-, o cuántos sitios de la red han desfigurado o reemplazado sus contenidos. ¿El propósito? Muchas veces tan solo jactarse y demostrar su habilidad ante la comunidad hacker. Y también nos encontramos con otra peculiaridad. Al referirnos a este tipo de delincuente no es correcto calificarlos como parte de la delincuencia organizada porque realmente no tienen esa condición; por el contrario, conforman una delincuencia más bien caótica, más bien dispersa. Todo delito, hasta los de lavado de dinero pueden llegar a cometerse mediante el uso de tecnología de información, pero no son delitos informáticos por naturaleza porque éste es apenas uno de los distintos medios de comisión posibles, como podrían serlo la adquisición de inmuebles o las manipulaciones contables. Es importante distinguir esto ya que todo hecho punible o, al menos, la gran mayoría de ellos probablemente admita un nuevo modus operandi que es el que involucra para su comisión el uso de las tecnologías de información, pero ello no significa que estemos en presencia de un delito informático -cuya naturaleza radica en que el uso de las tecnologías de información constituye el único medio de comisión posible para lograr el fin que se persigue-. Esto nos permite excluir claramente de la categoría de los delitos informáticos a la difamación, la extorsión, el terrorismo o la legitimación de capitales, puesto que son figuras en las que la lesión al bien jurídico protegido admite muy diversos medios de comisión al punto de que el uso de las tecnologías de información no es más que uno de ellos y, no por cierto, el más relevante. Otra característica interesante de este tipo de delincuencia es la variedad tan grande de categorías que pueden terminar resultando totalmente incompatibles entre sí. Muchos crackers, por ejemplo, cuya acción supone que el daño o sabotaje a los sistemas que utilizan tecnologías de información, desprecian a los sujetos que se dedican a la pornografía infantil y que ejercen ese tipo de profesión en la red; ha habido casos en los que los primeros aconsejan a sus seguidores o admiradores, destruir, desconfigurar o sabotear las páginas web de pederastas, de organizaciones o sujetos que se dedican a la pornografía infantil en el ánimo de emprender una suerte de profilaxia de la red. Se trata de un código de conducta de moral un tanto relativa porque, realmente, para las sociedades que quieren avanzar, también es delito el acceso indebido y el sabotaje o daño a los sistemas independientemente de que el autor de esos hechos se considere un héroe por sabotear a otro tipo de delincuentes o esté animado por ideas altruistas. El ataque a un servidor, a un sistema, a una red, a un dispositivo nos puede dejar absolutamente indefensos, nos puede dejar en unas condiciones de inferioridad terribles porque, cada vez más, empresas, universidades, organizaciones no gubernamentales, Estados y ciudadanos dependemos de los sistemas para el tratamiento de la información y el conocimiento y si los sistemas que los contienen son vulnerados, lamentablemente el daño puede ser irreparable. Entonces, es delito tanto la pornografía infantil en la red como el acceso indebido (hacking) y el daño o sabotaje (cracking) a los sistemas que usan tecnologías de información.

Las vulnerabilidades de los sistemas son la fuente principal de “alimentación” de los actos delictivos de los hackers, quienes se dedican a encontrarlas e identificarlas con exactitud para poder organizar los “ataques” a los diversos sitios. Para enfrentar esto han surgido numerosas herramientas de protección destinadas a dificultar estos ataques: los firewalls o “barreras de fuego” que detectan y repelen cualquier intrusión; los antivirus, que rechazan cualquier correo electrónico cuyo archivo anexo contenga información capaz de reproducirse a sí misma y dañar el sistema operativo de la computadora que recibe el mensaje; y existen hasta programas más sofisticados como, por ejemplo, el Honey Pot, concebido para atraer a hackers haciéndoles creer que han capturado un servidor importante que luce muy complejo, con mucho tráfico y que inclusive se defiende del ataque y despliega un firewall, cuando en realidad se trata de un cascarón vacío que ha cumplido la función de entretener al atacante mientras el sistema y quienes lo están protegiendo y monitoreando tienen tiempo para organizar una defensa e impedir el acceso del intruso. No hay que olvidar, entonces, que la misión de la ley penal no es resolver este problema. La ley penal es simplemente el último reducto que opera cuando medidas preventivas como las descritas no funcionaron o fueron rebasadas; en fin, cuando ya se ha lesionado el bien jurídico protegido. Por ello, en esta materia hay que desarrollar una cultura de seguridad, adoptar una serie de hábitos que permitan minimizar el riesgo de delitos informáticos, adaptar los principios de la victimología a estas nuevas realidades. Es conveniente que los usuarios incursionen en las tecnologías de información con el mínimo de conocimientos indispensables para reducir las vulnerabilidades de los dispositivos de los cuales se sirven y promover un uso responsable de estas novedosas herramientas.

Tendencias de la legislación comparada en materia de derecho sancionatorio

Pero, volviendo a las fuentes revisadas para la concepción de la ley venezolana nos encontramos, en materia de derecho sancionatorio, con la vertiente penal plasmada en una gran cantidad de legislaciones promulgadas como producto de la reacción de los Estados hacia estas conductas indebidas, pero, además, con una vertiente administrativa presente también en algunos países que se refieren, por ejemplo, a conductas negligentes, irresponsables, poco seguras, por parte de personas cuya función está vinculada con la administración de este tipo de sistemas y que, con su conducta, pueden dar lugar a que un tercero abuse o se aproveche; pero eso no significa que aquellas personas están actuando dolosamente o que estén infringiendo directamente derechos de otros, sino que simplemente, no están comportándose de la manera que se espera de ellos, dada su función. También ha surgido una iniciativa de restringir el envío masivo de publicidad no solicitada -mejor conocido como “spam”-, manifestación que ya se vislumbra como un verdadero flagelo en la red Internet a pesar de que ha sido bien diferenciado de los delitos y tratado, en consecuencia, como infracción administrativa.

Para poder redactar la ley hubo de abordarse una revisión de derecho comparado muy exhaustiva que abarcó más de treinta países en los cinco continentes, lo cual permitió identificar una tendencia evidente: los delitos informáticos se manifiestan en dos sentidos. Como delitos de resultado y como delitos de medio. Ambas vertientes están claramente identificadas y documentadas por las legislaciones de la gran mayoría de los países. El primer grupo, relativo a las conductas que vulneran los sistemas que usan tecnología de información, constituye el de los delitos de resultado, es decir, donde el autor lesiona -y el bien jurídico protegido es- la información, su almacenamiento, tratamiento, automatización y transmisión; ¿y cómo se manifiesta y procesa esa información en la cual descansan tantos valores e intereses? A través de los sistemas, las redes, el software, todos los componentes que hacen posible su tratamiento automatizado. Entonces, ¿cómo se sistematiza la protección de la información y su expresión más compleja, el conocimiento? Al concebir como bien jurídico la protección de los sistemas que la contienen, la procesan y la transmiten, los cuales contienen como bien subyacente a la información. Las lesiones a este bien jurídico son delitos de resultado. Pero hay también conductas que usan la tecnología de información como el único medio idóneo para atentar contra otros bienes jurídicos; se trata de los delitos informáticos de medio. De modo que, al atentar contra la propiedad del dueño de una tarjeta de crédito que resulta clonada, la lesión jurídica no recae ni pretende recaer en el sistema, en la tarjeta o en la banda magnética de la tarjeta de crédito; no, a través de esa manipulación tecnológica, se está ocasionando un perjuicio económico al titular de esa tarjeta sea mediante la sustracción de efectivo de su cuenta bancaria, sea creándole una deuda que él no ha contraído. Aquí, evidentemente se está vulnerando preferentemente un bien jurídico distinto de la información o de los sistemas, se está lesionando la propiedad y ello hace que este tipo de delito informático sea un delito de medio. Eso sí, tiene la particularidad de cometerse de manera distinta a la tradicional que consistiría, por ejemplo, en sustraer dinero de una gaveta o falsificar la firma en un cheque de la víctima para hacerlo efectivo en el banco. Lo que diferencia a los delitos clásicos contra la propiedad de los delitos informáticos contra la propiedad es justamente la utilización indebida de las tecnologías de información como único medio posible para cometer ese delito contra la propiedad.

Además de las disposiciones de derecho interno de los países, resultaron útiles las referencias aportadas por los organismos internacionales, en algunos casos un tanto precarias pero muy meritorias habida cuenta de la vieja data de varias de estas iniciativas. Tanto la Organización de Naciones Unidas, la Organización de Cooperación para el Desarrollo Económico (OCDE) adscrita a la propia ONU, el Consejo de Europa y la Asociación Internacional de Derecho Penal establecieron listas tentativas de delitos con el propósito de sugerir su valoración como marco de referencia en el esfuerzo de los distintos países para abordar la tipificación de las conductas indeseables en esta materia. En cuanto a esos esfuerzos concretos, la revisión de las legislaciones de Alemania, Austria, Francia, Holanda, Gran Bretaña, España, Italia, Estados Unidos, Japón, India, Hong Kong, China, Australia, Israel, Chile, Brasil, México, Perú, entre otros países, nos permitió advertir que la tipificación de los nuevos delitos fue asumida por vías distinas, dependiendo de las circunstancias de cada país y su coyuntura específica. Algunos reformaron sus códigos penales para insertar los delitos informáticos y otros trataron el tema mediante leyes especiales. La verdad es que no podríamos hablar de una tendencia predominante en este aspecto.

Definición de delito informático

Entonces, como hemos dicho, a los delitos informáticos los podríamos definir como aquellos actos manifestados mediante el uso indebido de las tecnologías de información cuando tales conductas constituyen el único medio de comisión posible para lograr el efecto dañoso que vulnera los bienes jurídicos cuya protección es necesaria. De modo que esa es la manera como nosotros los identificamos. Si a nosotros nos hablan de una difamación hecha por correo electrónico, fácilmente podemos advertir que a la víctima podrían difamarla con igual eficacia a través de la televisión o de la prensa. Cuidado y si más, porque la penetración del correo electrónico no necesariamente es tanto o más masiva que la de la televisión o de algún órgano tradicional de divulgación de noticias. A lo mejor ustedes en la universidad tienen un periodiquito muy leído por todos los de aquí y hasta más leído, tal vez, que un diario de circulación nacional. Bueno, a lo mejor ese medio para difamar es muy superior, mucho más agresivo, que el medio del correo electrónico. Entonces, así como nunca podremos tener una difamación como delito informático, el fraude electrónico es el delito informático por excelencia porque, para que esta acción sea calificada como tal es que no hay otro medio, no hay otra forma de acceder a la cuenta de la víctima sino con la habilidad en el uso de las tecnologías de información, con la manipulación para poder introducir instrucciones falsas, instrucciones indebidas y lograr un efecto jurídico distinto del que la máquina tenía como programación. Aquí radica la distinción fundamental entre el verdadero y el falso delito informático.

Características indispensables en una ley venezolana destinada a prevenir y sancionar el delito informático

La ley especial, entonces, procuró atender a estas características, se buscó que fuese una ley previsiva y no reactiva. ¿Por qué? Si nos limitábamos a que la nueva tipificación se redujese a ser sólo una reacción contra las clonaciones no estábamos haciendo nada; en muy poco tiempo tendríamos en el país la falsificación del documento electrónico, las invasiones de la privacidad, la pornografía infantil que la Ley Orgánica de Protección al Niño y al Adolescente no atendió con la severidad debida -no porque tenga una mala técnica; yo creo que es una ley en la que se plasmó un esfuerzo bien importante, es una buena ley, pero para el momento que la LOPNA se promulgó los delitos informáticos distaban mucho de manifestarse aún-. Por ello, la pornografía infantil sólo se planteó a través de revistas, de periódicos, a lo sumo, de espectáculos en vivo o registrados en vídeo. Con el tiempo surgió la realizada a través de Internet, la que desplazó al soporte en papel y está generando ingresos multimillonarios a las transnacionales de pornografía. ¿Cómo no incorporar entonces, todas estas nuevas conductas en la ley? Era importante que la ley fuera previsiva, es decir, que aunque esas conductas no hubiesen llegado aún a Venezuela, era un problema de muy poco tiempo el comenzar a percibirlas. De hecho, la ley se promulgó en octubre de 2001 y ya en el año 2002 contábamos con las primeras estadísticas del Ministerio Público que registraban las nuevas figuras y, afortunadamente, ya se contaba con el instrumento que permitía su persecución penal. Otro desafío de la ley era concebirla como un instrumento actualizado con bajo riesgo de obsolescencia; en este aspecto, el aporte de los ingenieros de computación, de los expertos en seguridad informática, de los especialistas en informática forense, resultó vital ya que los abogados somos los menos dotados, por razones de formación, para abordar exclusivamente este asunto. Un buen ejemplo de este esfuerzo para combatir la obsolescencia lo podemos encontrar en el tipo penal agravado de sabotaje o daño a los sistemas que se refiere a la introducción o envío de algún virus o cualquier otro programa análogo. ¿Por qué esta última mención? Porque si bien el término “virus” define un tipo específico de programa que se reproduce a sí mismo y causa daño o sabotaje a los sistemas, resulta muy probable que pronto entre en acción otro programa que funcione de manera similar -pero no idéntica- y que sea bautizado con un nuevo nombre genérico distinto del vocablo “virus”. Si no tomamos las debidas previsiones, los litigantes pícaros se aprovecharían del hecho de que muchos nuevos programas de sabotaje no responden a la definición exacta de “virus” y en ese caso estaríamos ante un hecho atípico. Entonces, no tenía sentido cerrar la norma con vocablos que describen características demasiado específicas o con otros términos de fácil recordación porque se hayan popularizado pero que, paradójicamente devienen en imprecisos por ser demasiado específicos, en razón de lo cual podrían caer en la obsolescencia y hacer nugatorios los efectos de la ley. Esta previsión, unida a la inserción de un glosario que facilitase que todos los actores procesales podamos hablar el mismo lenguaje (jueces, fiscales, defensores, expertos) permitió contar con un marco de referencia seguro, común a todas las disciplinas y alimentado precisamente con el aporte de ellas. El otro problema a salvar pasaba por asumir la coyuntura descodificadora como un mal menor ante el riesgo de agregarle más parches al código penal, sobre todo si el esfuerzo de tipificación de estos nuevos delitos se estaba complementando con la adopción de un sistema de penas moderno y el de nuestro Código Penal es un sistema totalmente agotado, desdibujado, que no cumple ya ninguna función y que de alguna manera más bien lo que hace es contravenir todo lo que técnicamente se está realizando en el mundo. De manera que la Ley Especial contra Delitos Informáticos tuvo la ambición de procurarse un sistema de penas acorde con las últimas tendencias, ya poco compatibles, por cierto, con nuestro viejo código penal. Por ello pues, tuvo que abordarse bajo el esquema de ley especial.

La ley también fue concebida con una visión integral, es decir, con el objeto de que respondiese no sólo a los intereses de los afectados por los primeros delitos con los que tuvimos que enfrentarnos en Venezuela, sino que contemplara los diversos bienes jurídicos dignos de protección y, como ratio fundamental y subyacente, que atendiera al principio de legalidad. Hubo especial cuidado en evitar a toda costa cualquier posibilidad de remisión a otros tipos penales o la adopción de tipos penales abiertos.

Tal como les indiqué anteriormente, la ley tiene un glosario concebido en procura de contar con reglas de juego claras para todos los sujetos procesales. Surgió de varias fuentes, entre otras, los websites de la empresa Microsoft, del MIT (siglas en inglés de la Universidad Tecnológica de Massachusett) y de TELECOM (Organización Mundial de las Telecomunicaciones), así como de las consultas sobre tales términos al grupo de ingenieros y expertos asesores en seguridad informática. La especialidad de la materia determinó que tres vocablos no podían expresarse en español puesto que perdían su significado, de modo que se conservaron en inglés como idioma original con la debida definición en español. Fue el caso de la coexistencia de “software” y “programa” que para los expertos no representan lo mismo, por lo cual, los matices entre ambos conceptos quedaron plasmados en las respectivas definiciones de la ley; igual ocurrió con el término “firmware” que no tiene traducción y cuya relevancia en una experticia es indudable puesto que se refiere a un dispositivo cuya naturaleza responde al software pero está adosado al hardware de tal manera que la data que contiene no es susceptible de modificaciones. Existe la probabilidad de que, con cierta frecuencia, las experticias que rindan los ingenieros, los técnicos, las personas que informen en un juicio, versen sobre los datos indelebles que quedaron en el firmware y es útil que el juez y el fiscal tengan a mano en la propia ley el significado de firmware de una manera segura e inequívoca con el objeto de favorecer la apreciación de las pruebas derivadas de su.contenido. El último término foráneo fue el de data, incluído paralelamente al de datos, en razón de la discusión técnica que también advierte pequeñas diferencias entre ambos; resultó preferible, entonces, evitar fragilidades en los casos penales que se planteasen y dar por válidos ambos vocablos compartiendo una definición común. Para admitir estos tres términos en inglés, la ley hizo la salvedad de que su definición en español, así como la del resto de los vocablos técnicos, quedaba incorporada como parte de su propio texto, lo cual allana los frecuentes problemas de interpretación que se presentarían de no disponer de esta referencia totalmente a mano, es decir, dentro del propio instrumento legal.

En lo relativo a la tipificación de los delitos, la ley los clasifica de acuerdo con el objeto jurídico protegido que, además de ser el método más apropiado, es el adoptado por el legislador venezolano en el Código Penal.

Clasificación de los delitos de acuerdo con el bien jurídico protegido

Veamos los bienes jurídicos previstos en la Ley Especial contra Delitos Informáticos: el primero versa sobre los delitos de resultado, aquéllos que atentan contra la información y se denominan “Delitos contra los sistemas que usan tecnologías de información”. Los restantes bienes jurídicos responden a delitos de medio puesto que el uso indebido de las tecnologías de información no atenta contra la información o el conocimiento en sí mismos sino que vulnera bienes jurídicos tradicionales pero con la particularidad de que, para hacerlo, el único medio de comisión posible es la tecnología de información. Este último elemento, el relativo a la necesaria ocurrencia de un medio de comisión “lógico” y no “físico” para que el tradicional objeto jurídico protegido se afecte, constituye la clave para diferenciar estos delitos del falso delito informático. Por ejemplo -inclusive en los mismos delitos contra los sistemas-, si alguien accede a la información contenida un disco duro a través del apoderamiento físico de un ZIP que contenía una copia exacta de respaldo de ese disco duro, estamos en presencia de un hurto simple puesto que nadie está utilizando tecnología de información para acceder al contenido de ese disco duro. La acción descrita sería idéntica a la de quien sustrae el mueble o armario contentivo de las carpetas llenas de papeles correspondientes a los archivos. Pero, si alguien por la red captura la contraseña, entra indebidamente y obtiene la misma información, esa persona está cometiendo delitos informáticos que podrían ser, además del acceso indebido, el de espionaje informático o de violación a la privacidad, dependiendo del tipo de información o data que se haya querido capturar.

Delitos contra los sistemas que usan tecnologías de información

Los delitos contra los sistemas son siete: el delito de acceso indebido, previsto en el artículo 6, que es la conducta del hacker concebida como el acceso a un sistema ajeno sin autorización o violando el nivel de autorización que le han concedido. Este delito tiene, además, una peculiaridad y es su pena relativamente baja y una pena accesoria de trabajo comunitario, de modo que si el kacker se limita única y exclusivamente a entrar indebidamente sin incurrir en sabotaje o daño, sin cometer espionaje –recordemos que el hacking o acceso indebido frecuentemente se convierte en cracking, es decir, va unido a las otras infracciones mencionadas en cuyo caso lo que hay es un concurso de delitos- sino que el sujeto activo simplemente se limita al acceso indebido, al narcisismo de decir “yo penetré en tales sitios” y no realiza nada más, pues esa persona es rescatable, esa es una persona que cuyos conocimientos permiten que realice trabajos comunitarios; al asignarle la pena accesoria de dar clases de informática, le damos también una especie de estímulo, de reconocimiento por una vía distinta de la incursión en lo indebido. Nosotros incorporamos esto en la ley y me llamó la atención hace como seis meses que, navegando en una página española, encontré que un juez de ese país castigó a un joven de 18 años que “hackeó” varios websites -pero que era excelente alumno, no tenía antecedentes de mala conducta ni problemas familiares-, con más de treinta horas de trabajo comunitario consistente en dar clases de computación. Nos satisfizo mucho a la Doctora Magaly Vásquez y a mí encontrarnos con la ratificación de un razonamiento que abordamos anticipadamente, ya que una condena como ésta, relativamente leve y, además, constructiva, es conveniente cuando el individuo no ha traspasado ciertas barreras –no ha causado daños ni invadido esferas más delicadas- puesto que constituye una especie de mecanismo que le promueve la obtención del reconocimiento al cual aspira –es su móvil en el fondo- por vía legítima y contribuye a desestimular las conductas impropias que aún no se han manifestado letalmente. El delito de sabotaje y daño a sistemas, previsto en el artículo 7, es el delito típico del cracker, quien a través de muchas modalidades puede hacer colapsar un sistema o alterar su funcionamiento de modo que éste no pueda realizar la función para la cual fue diseñado o no pueda realizarla en el plazo, modo o características previstos y establecidos en las instrucciones correspondientes. Las modalidades de daño o sabotaje pueden ser muchas: formatear el disco duro, “secuestrar” una máquina y capturar sus datos para dirigir a través de ella ataques a otro sistema, enviarle programas espía; todas ellas encuadran dentro de la previsión del artículo 7. El delito se comete asimismo cuando la acción va dirigida específicamente contra la data o información contenidas en un sistema, tal como se prevé en el primer aparte del mismo artículo. También contempla un sub-tipo agravado cuando el delincuente multiplica los efectos de su sabotaje o daño mediante el envío o introducción, por cualquier medio, de programas capaces de autoreproducirse y automáticamente continuar expandiendo sus efectos gracias a la acción de las computadoras “huésped” activadas mediante las instrucciones de estos programas, de los cuales los más populares son conocidos comúnmente como virus. Otro delito de este capítulo es el de Favorecimiento culposo del sabotaje o daño, previsto en el artículo 8, que, como su nombre lo indica, constituye la única figura de la ley que admite como elemento subjetivo la culpa, caso de las conductas negligentes, imprudentes, imperitas o violatorias de las disposiciones legales aplicables a la situación –si fuere el caso-. Un buen ejemplo de ello es la actuación de quien ha recibido advertencias inequívocas de que determinado correo electrónico de circulación masiva contiene un archivo adjunto contaminado y capaz de autoenviarse a todos los destinatarios de la libreta de direcciones del ususario y, a pesar de ello, la persona abre el archivo adjunto y no sólo contamina y daña su propio computador sino el de todos sus destinatarios de correo. Como complemento de todas las figuras anteriores, el artículo 9 prevé una agravante específica tanto del delito de acceso indebido como del de sabotaje o daño que está determinada por las caracteristicas de la información o data afectadas o por la condición del sujeto pasivo y la entidad de las operaciones que maneje: la seguridad del Estado, la información sensible sobre las personas o el patrimonio de éstas, por una parte y, por la otra, la adopción de medidas de seguridad que habrían sido burladas por el cracker, son los elementos que determinan la aplicación de esta agravante. Otro delito contra los sistemas, la posesión de equipos o prestación de servicios de sabotaje, previsto en el artículo 10, contiene supuestos alternativos que prevén tanto la utilización de equipos con el fin de acceder indebidamente, sabotear o dañar –circunstancia que inequívocamente puede ser determinada por vía de experticia- como la conducta de quien, independientemente del equipo desde donde dirija los ataques, es el autor de tales acciones. Hay programas de auditoría forense que permiten revisar cuáles son las últimas incursiones que una computadora haya hecho el mismo día, el día anterior, la última semana, el último mes y, en general, todo lo que se ha hecho en esa computadora, lo cual facilita la detección del uso irregular de un equipo. Fíjense que aquí se adoptó la técnica de considerar los distintos eslabones de la cadena –hacker, propietario del equipo, tenedor del equipo- y valorarlos en forma autonóma en la medida en que involucran una participación consciente del individuo. Muchas veces los legisladores, por querer concentrar muchas cosas y por querer referirse a ultranza a las coparticipaciones delictivas, las incorpora como requisito esencial de un tipo penal sin que jamás pueda demostrarse ese concurso puesto que las actividades responden a características de acción muy diversas y a cada quien le corresponde su parte en forma desvinculada “en apariencia”. Hay casos de bandas organizadas donde el hacker no es el dueño o ni siquiera el tenedor del equipo; no comprender esta dinámica trasladaría a la ley un problema insoluble y haría nugatorios sus efectos. Porque ¿cómo se le probaría a alguien responsabilidad en estas conductas si siquiera sabe manejar con propiedad un computador? La responsabilidad no es por el daño ni por el acceso indebido sino por la posesión de equipo para cometer sabotaje, de modo que lo que hizo la ley fue, en vez de unir todas esas conductas en una coparticipación imposible de probar, valoró individualmente el grado de afectación al bien jurídico protegido por parte de cada una y las tipificó por separado con lo que mantuvo su apego al principio de legalidad. Por ejemplo, si con la investigación penal que me conduce a la casa desde donde se realizan los ataques encuentro que los equipos que allí se encuentran se destinan, en el horario coincidente con la presencia inequívoca del dueño de la casa, a realizar actos de sabotaje informático, ya se puede lograr el castigo por este simple hecho: Ahora bien, si, adicionalmente, la investigación conduce al hacker, tanto mejor, pero la ley no excluye la posibilidad de tener éxito así sea parcial, porque ese es el gran fracaso de la justicia penal que a veces, cuando tipifica los delitos lo hace exigiendo tantos requisitos queriendo ser muy severa, que más bien se torna demasiado benévola, puesto que exigir innecesariamente la concurrencia o acumulación de tantos requisitos que, de por sí en forma separada son más que reprochables, deviene en una burla al espíritu y propósito de lo que se persiguió al estipular que una conducta sería perseguible penalmente. Entonces, al adoptar una técnica totalmente contraria lo que se quiere lograr -que no es otra cosa que el efecto intimidatorio y la sanción efectiva-, se vuelve nugatoria la promulgación de la ley penal. El penúltimo de los delitos contra los sistemas es el de espionaje informático, contemplado en el artículo 11, el cual se refiere a la obtención, revelación o difusión, sea por acceso indebido, sea por acceso privilegiado al sistema, de data o información que no le pertenece -de allí que la norma hable de obtener “indebidamente”-. Este tipo posee una clara diferenciación con el previsto en el artículo 20 que se refiere a la privacidad de la data o información de carácter personal, porque el acceso y la captura de información o data constituyen un ataque al sistema, a la base de datos íntegra o incluso parcial pero tratada como base de datos y no como acción dirigida a capturar información sobre una persona específica. El uso más frecuente de esta suerte de “hurto de bases de datos” es su comercialización a empresas interesadas para que éstas envíen publicidad a mercados masivos; sin embargo, es conveniente destacar que este último fin constituye una agravante específica ya que el tipo penal básico no exige lucro para su configuración. La agravante específica se incrementa si resultare afectada la seguridad del Estado, la operación de las instituciones afectadas o si se produjese algún daño a personas naturales o jurídicas como consecuencia de la revelación de las informaciones de carácter reservado. El último de los delitos contra los sistemas es el de falsificación de documentos, previsto en el artículo 12, cuya incidencia aún no se ha popularizado pero es un problema de tiempo. Basta observar toda la nueva gama de prácticas administrativas surgidas como consecuencia de la adopción de las tecnologías de información: licitaciones, concurso de credenciales, recaudación de impuestos, control de causas. Cada vez más las organizaciones han dejado de acceder a los papeles de soporte y consultan como fuente directa el computador porque asumen que tales soportes fueron transcritos cabalmente. Entonces ¿qué puede hacer el delincuente? Bueno, hace desparecer un documento del sistema y lo reemplaza por otro al punto que puede inducir a la producción de resultados falsos o manipulados. Al leer el tipo penal de este delito, advertirán que tiene muchos detalles de verbos rectores en procura de una tipificación que se adecúe cabalmente al principio de legalidad, que contemple incluso que alguien pueda hasta mover un documento, esconderlo, pues, para que no sea encontrado oportunamente y eso en computación es una práctica relativamente habitual. En otras palabras, la falsificación puede darse escondiendo las cosas de una manera inusual como puede serlo cambiando la terminación de un archivo punto doc (.doc, propio de los documentos de texto) para convertirlo en punto gif (.gif, correspondiente a una imagen), entonces quien esté ubicándolo va a fijarse sólo en los archivos de texto y desechará aquél que no corresponda en apariencia. Entonces, esas conductas son muy de la delincuencia informática y hay que prevenirlas pues, con una tipificación adaptada a los modus operandi propios de ella.

Delitos contra la propiedad

El segundo grupo de delitos corresponde a los que vulneran la propiedad como bien jurídico; tanto éstos como todos los que veremos en adelante, son delitos de medio, que nacieron por el surgimiento de nuevas formas delictivas que, si bien lesionaban bienes jurídicos tradicionales, adoptaron características que no cabían dentro de las figuras ya previstas y sobre todo, dichas características constituían el único medio de comisión posible para lograr la vulneración del bien jurídico digno de protección penal.

El primero de estos delitos es el hurto informático, previsto en el artículo 13 y cuyo alcance es muchísimo más amplio del concebido para el hurto tradicionalmente considerado. La Ley Especial de Delitos Infomáticos prevé, a diferencia del Código Penal, bienes tanto tangibles como intangibles con lo que atiende a la configuración de un nuevo elemento material que ya no consiste en mover un bien mueble del lugar donde se hallaba sino, por el contrario, dejarlo en el mismo lugar pero asignado bajo un código o una cuenta distintos que corresponden a alguien diferente del dueño o del custodio; la otra novedad incorporada se refiere a que hablamos de bienes sustraídos a su tenedor ¿por qué? Como recordarán, el tenedor del bien no era considerado víctima, no podía querellarse desde un principio, ni podía intervenir oportunamente a pesar de haber resarcido el propietario de los fondos o títulos. Es que, formalmente, había dificultades para que algunos tribunales reconociesen a éste como víctima con lo que el propietario terminaba recibiendo un doble perjuicio, el del evento original de la sustracción de su dinero, títulos o acciones de su cuenta y el de la responsabilidad de asumir unas cargas procesales excesivas en el juicio penal. Por el contrario, los tenedores habituales de estos bienes intangibles como son los bancos, las empresas administradoras de fondos mutuales, las empresas aseguradoras, están en mejores condiciones legales, económicas, de todo tipo, para constituirse y actuar como un sujeto procesal útil en juicio.

En el caso del fraude, delito que está previsto en el artículo 14 de la Ley, estamos en presencia de la manipulación de los sistemas para insertar instrucciones falsas o fraudulentas que produzcan un beneficio económico en perjuicio ajeno; como se advierte de la lectura del tipo penal, concurre con los elementos de la estafa pero mucho más generales y sin el requerimiento de la mise en scéne propia de ésta. El tipo penal consiste, entonces, en crear, introducir, enviar instrucciones erróneas de modo que el sistema –que fue programado para producir un determinado resultado- arroje un resultado totalmente imprevisible que no estaba en el programa, que no estaba diseñado para eso y que produce un beneficio económico en perjuicio ajeno.

Los delitos vinculados con el manejo indebido de tarjetas inteligentes o instrumentos análogos parten de la base de la definición de tarjeta inteligente que se encuentra en el glosario de la Ley (artículo 2) que la concibe como un instrumento de acceso, identificación, pago o crédito, es decir, previendo no sólo el uso más popular (crédito y débito) sino como tarjeta integral de control mediante la cual se identifica a quien ingresa a un recinto, se expide la autorización para dicho ingreso, se controla el tiempo de permanencia en el lugar y se factura un determinado servicio que puede ir desde el derecho a usar un estacionamiento para vehículos hasta la posibilidad de navegar por Internet en un cibercafé. Las modalidades previstas en relación con las tarjetas, todas concebidas como delitos autónomos, son las siguientes: a) la obtención indebida de bienes o servicios (artículo 15) por parte de alguien que porte o utilice una tarjeta ajena o realice cualquier práctica habilidosa por vía remota (en redes internas o en Internet) para acceder a bienes o servicios sin aportar la contraprestación debida, sea mediante la creación de algoritmos y claves que creen la apariencia de una tarjeta ya existente, sea mediante la obtención en la red de las series de números considerados válidos por los prestadores del servicio. b) El manejo fraudulento de tarjetas inteligentes o instrumentos análogos (artículo 16) cuyo tipo penal atiende al fenómeno de la clonación, que consiste en la captura, por cualquier medio, de la información contenida en la tarjeta para utilizarla como instrumento de pago u obtención de servicios con perjuicio del titular de la tarjeta. El elemento objetivo de este tipo es muy profuso en razón de las numerosas modalidades mediante las cuales los delincuentes obtienen esta información. Uno de los casos más frecuentes es el de la instalación de “pescadores” (copiador de la banda magnética de la tarjeta) en los propios telecajeros de los bancos, de modo que estas instituciones constantemente inspeccionan estos dispositivos para verificar que no han sido alterados para fines ilícitos. c) La apropiación de tarjetas inteligentes o instrumentos análogos (artículo 17) que ya no se refiere al aspecto técnico sino a la sustracción o retención indebida de tarjetas verdaderas para su comercialización y a los actos de comercialización. d) La provisión indebida de bienes o servicios (artículo 18) que prevé la conducta del comerciante inescrupuloso que, a sabiendas de que la tarjeta que le presentan para el pago es falsa, pertenece a una persona distinta de quien la usa o presenta signos de irregularidades, la acepta como instrumento de pago; en relación con esta conducta, se han detectado empresas de papel únicamente constituidas con el objeto de obtener afiliación a los bancos para poder darle uso masivo a tarjetas clonadas, por supuesto con perjuicio de sus verdaderos titulares y de las empresas emisoras. e) La posesión de equipo para falsificaciones, previsto en el artículo 19: instrumentos como el “pescador” constituyen dispositivos que, lamentablemente, no han sido fabricados ni son utilizados para fines lícitos; son la excepción en tecnología, que se ha diseñado y construido para un buen uso y que puede ser objeto de desviaciones, por lo tanto, no es dable tipificar conducta derivadas de la simple posesión de equipos salvo en este supuesto excepcional de dispositivos especiales –muy dañinos por cierto- o cuando el hallazgo de evidencias determinan inequívocamente que equipos tradicionales están siendo usados como instrumentos de clonación. Afortunadamente, hoy día ello puede establecerse con certeza aún cuando los delincuentes, para ocultar sus acciones, hayan incluso formateado el disco duro del computador, puesto que existen softwares de recuperación de información -como el “carnivore”, por ejemplo- que ofrece una buena posibilidad de rescatar evidencia aparentemente perdida. Todo estriba en los rastros digitales que permiten indicar qué actividades se han realizado con un computador, con precisión de períodos de tiempo y, dependiendo del sistema operativo, con muchos otros detalles que podrían contribuir a individualizar conductas.

Delitos contra la privacidad de las personas y de las comunicaciones

El tercer grupo de delitos atiende a la protección de derechos fundamentales del ser humano como son, su privacidad y la privacidad de sus comunicaciones. La incorporación del habeas data en la nueva Constitución del 99, además, determinó una obligación por parte del legislador de dotar de protección al ciudadano en relación con los abusos derivados de un uso inapropiado de los sistemas en detrimento de su buen nombre y el resguardo de su intimidad. Son tres las figuras previstas, desglosadas así atendiendo a las modalidades que en la práctica se ponen de manifiesto habitualmente.

La violación de la privacidad de la data o información de carácter personal (artículo 20) contempla la apropiación de la data o información de carácter personal propia o sobre la cual se tenga interés legítimo, como sería el caso de información acerca de los padres de una persona, por ejemplo; esta nueva previsión no sólo establece todas las posibles modalidades de invasión de la privacidad sino que facilita su persecución al desglosar como un delito distinto la revelación de la data o información de carácter personal (artículo 22). Muy frecuentemente quien usa, comercializa, explota la información obtenida no guarda relación alguna –o, al menos, es imposible probársela- con quien ha hackeado el computador de alguien. El establecimiento de estas violaciones por separado, aparte de que son de naturaleza distinta desde el punto de vista del elemento objetivo, desentraba la persecusión al reflejar como operan efectivamente estos delitos en la práctica sin descartar ningún modus operandi, inclusive, aquél que no persigue daño, lucro ni divulgación alguna de lo encontrado; en este último caso bastaría encontrar elementos demostrativos de que la captura de la información personal de otro se realizó aún cuando no haya sido utilizada para poder calificar jurídicamente esa conducta dentro de las previsiones del artículo 20.

En cuanto al delito de violación de la privacidad de las comunicaciones (artículo 21), esta tipificación supera el inconveniente que presentaba la Ley de protección a la privacidad de las comunicaciones que no previó el correo electrónico como objeto de invasión y sus delitos son –con pocas excepciones- de acción privada. Hoy día, con la industria del espionaje desarrollada por particulares, las disposiciones de aquella ley se tornaron letra muerta ante la dificultad manifiesta para investigar estos delitos puesto que sólo son de acción pública si está comprometida la conducta de funcionarios públicos, conclusión a la que, además, es muy difícil arribar sin haber desarrollado la investigación que es potestad exclusiva del Ministerio Público.

Delitos contra los niños y adolescentes

El cuarto grupo de delitos fue concebido con la finalidad de suplir el vacío que la Ley Orgánica de Protección del Niño y Adolescente presenta en relación con la persecución penal de la pornografía infantil. Las previsiones de ese instrumento solamente contemplan sanciones administrativas para la difusión de pornografía a través de soportes convencionales y nada prevén en relación con Internet, que es justamente el medio que ha desplazado comercialmente a los restantes por constituir el instrumento por excelencia para el logro de los fines previstos en razón de la facilidad para disimular la verdadera identidad de los beneficiarios de este negocio. La Ley Especial contra Delitos Informáticos abordó el problema de Internet y previó las dos únicas figuras posibles. La primera es la difusión o exhibición de material pornográfico (artículo 23) que, por cierto, fue concebida en términos realistas al establecer como elemento objetivo del tipo penal la omisión en la que incurre quien difunda, transmita, exhiba o venda pornografía a través del uso de las tecnologías de información, sin formular previamente las debidas advertencias para que los usuarios restrinjan el acceso a niños o adolescentes o incorporen los filtros respectivos para que el acceso sea bloqueado; como puede advert1irse, los términos de esta tipificación se cuidan bien de restringir derechos individuales de personas adultas que puedan tener afición a contenidos sexuales más que explícitos como entretenimiento. Esta situación cambia absolutamente cuando esos contenidos incorporan las imágenes de niños o adolescentes, caso éste en el cual, se configura el delito previsto en el artículo 24, denominado exhibición pornográfica de niños o adolescentes que admite, inclusive, la incorporación de imágenes virtuales, es decir, creadas digitalmente aunque no deriven de un modelo real, ya que el sentido de la sanción guarda relación con el impacto de las imágenes y efecto que ellas causen como estímulo para la promoción de conductas que busquen imitarlas en la realidad y con ello contribuyan aún más al fortalecimiento de esta pavorosa industria, muchas veces alimentada, como se sabe, por el secuestro y trata de niños sometidos a las más terribles perversiones; de allí que la sanción haya sido concebida en procura de destruir esta cadena desde cualquiera de sus eslabones.

Delitos contra el orden económico

El quinto y último grupo de delitos recoge dos violaciones contra el orden económico realizadas específicamente a través del uso indebido de las tecnologías de información y que, por tal motivo, no habían sido recogidas apropiadamente por las leyes especiales vinculadas con las materias específicas que las tratan. El primer caso es el de la apropiación de la propiedad intelectual (artículo 25), delito que se comete cuando el sujeto activo persigue algún provecho económico de alguna obra intelectual ajena obtenida mediante el acceso a tecnologías de información. El segundo es el de la oferta engañosa realizada a través de la red (y las facilidades de anonimato que ella provee) de modo que resulte algún perjuicio para los adquirentes del bien o del servicio ofrecido, delito éste que suple el vacío de la Ley de Protección al Consumidor y al Usuario al respecto (artículo 26).

Aspectos generales y disposiciones comunes de la ley

Finalmente, merecen especial mención los aspectos generales de la ley y las disposiciones comunes a todos los delitos. En primer lugar, se consolida la figura de la extraterritorialidad (artículo 3) que ya había sido adoptada por el legislador venezolano desde 1983 con la Ley Orgánica de Salvaguarda del Patrimonio Público. Los evidentes efectos globales del delito informático imponen no sólo la necesaria cooperación internacional entre Estados sino también la posibilidad de ejercer la competencia residual para conocer de los delitos informáticos cuyos efectos hayan recaído en territorio venezolano aun cuando hayan sido cometidos en el extranjero; la naturaleza es residual puesto que, como es lógico, el juzgamiento sólo se produciría si resultan nugatorios los efectos de la condena en el exterior o si no ocurre enjuiciamiento alguno. En segundo lugar, se admite la responsabilidad de las personas jurídicas (artículo 5), independientemente de la de las personas naturales que las dirigen o actúan por ellas -caso que viene muy a cuento en delitos como la oferta engañosa o la provisión indebida de bienes o servicios- y que estarían sujetas a un régimen de penas especial en razón de la inaplicabilidad de sanciones privativas de libertad (artículo 28). En tercer lugar, el sistema de penas, además de prever la concurrencia de las privativas de libertad y las pecuniarias, así como las agravantes específicas comunes a todos los delitos en los que haya uso indebido de contraseñas o abuso en la posición de privilegio (artículo 27), combina la aplicación de las accesorias de comiso, trabajos comunitarios, inhabilitación para el ejercicio de la profesión y suspensión del permiso o registro para operar, atendiendo a la naturaleza del delito cometido, del medio empleado o a las características de los autores del hecho (artículo 29). En cuarto lugar, se establece un nuevo modo de divulgación de la sentencia condenatoria, mediante la potestad conferida al juez de ordenar su publicación en el medio que considere conveniente, lo cual podría incluir la propia página web del condenado o algún portal o weblog específicos (artículo 30). Por último, en atención a la protección debida a la víctima, la ley procura facilitar su indemnización civil facilitando este trámite como consecuencia directa de la condena penal sin necesidad de una demanda posterior siempre que tal sentencia condenatoria haya quedado definitivamente firme (artículo 31).