Thursday, July 16, 2009

¿El "hackeo" de páginas web tiene castigo legal en la Argentina?

¿El

A raíz del reciente hackeo a los padrones electorales (www.padrones.gov.ar) publicados vía web con motivo de las pasadas elecciones del 28 de junio, como así también a la página web del Partido Justicialista (www.pj.org.ar), creo conveniente analizar la situación a la luz de la normativa vigente en el país.

A partir del dictado de la Ley 26.388, se produjo un cambio sustancial en el tratamiento de estos temas permitiendo sancionar a las personas que cometieron el ataque, con penas que van desde multa hasta prisión.

La norma, conocida como “Ley de Delitos Informáticos”, modificó el Código Penal (CP) en el capítulo III del título V, incorporando como delito contra la privacidad el acceso ilegítimo a un sistema o banco de datos, e igualmente el capítulo VII del título VI, al hacer pasible de la figura de daño a los programas o sistemas informáticos.

En este sentido, la actual redacción de los Artículos 153 bis y 183 del CP vienen a zanjar dudas existentes respecto de la punición de determinadas conductas como las realizadas el mes pasado respecto de las páginas web mencionadas.

El Art. 153 bis (CP) contempla la figura del acceso no autorizado a un sistema o dato informático, caracterizando como punible la acción de entrar o acceder sin autorización, ya sea violando las barreras de protección establecidas (tecnológicas, físicas, etc.), sea por no estar autorizado a acceder, o bien por haberse revocado los permisos conferidos o modificado las condiciones que habilitaban el acceso. El mencionado art. agrava la pena si el ataque o acceso se produce a un sistema o dato de un organismo público o estatal, como el caso de la página web de los padrones electorales.

Esta figura se comete simulando ser un usuario legítimo, mediante el acceso utilizando nombre de usuario y contraseña de un tercero; o accediendo a un sistema, dato, servidor, archivo informático, etc., sin contar con autorización; o excediendo los límites conferidos (tal el caso de un usuario autorizado a ver ciertos datos pero que usando el acceso legítimo lo transforma en ilegítimo); o aprovechando deficiencias de los sistemas de seguridad establecidos.

Podemos sintetizar, entonces, que esta figura penal de acceso indebido a un sistema o banco de datos requiere que se den al menos tres condiciones: (i) que no exista autorización para ingresar; (ii) que se vulneren medidas de seguridad colocadas para impedir el acceso no autorizado o la modificación; y (iii) que sea realizado con deliberada intención, es decir, “a sabiendas”.

Se excluye de esta figura la comisión de un daño para la configuración del delito. Esto es, no es necesario que se produzca una modificación o alteración al sistema o dato para que exista delito, sino que la mera intrusión sin autorización configura una conducta indebida (típica).

Por su parte, el Art. 183 (CP) dispone que, quien alterare, destruyere o inutilizare datos, documentos, programas o sistemas informáticos; o vendiere, distribuyere, hiciere circular o introdujere en un sistema informático cualquier programa destinado a causar daños, incurrirá en una pena de 15 días a un año. La modificación introducida a este artículo permite considerar como objeto de ataque o pasible de daño (entendido como una alteración de las condiciones, propiedades, destrucción, inutilización, etc.) a los sistemas, programas, datos o archivos informáticos.

En este sentido, la realización de una conducta, por ejemplo insertar contenido a una página web o impedir su acceso, pueden configurar además de otros delitos, el de daño. En el caso de las páginas mencionadas, también deberá analizarse si se cometieron algunas de las acciones típicas de los delitos contra el honor (calumnias o injurias), como asimismo, llegado el caso, algunos de los delitos incorporados al CP por la Ley 25.326 de Protección de Datos Personales, mediante la introducción de figuras típicas en el Art. 157 bis.

En relación a bases de datos, este artículo considera acciones punibles el acceso a un banco de datos sin poseer autorización para tal fin, como así también el que insertare o hiciere insertar datos falsos en un archivo o banco de datos personales. Como mencionáramos respecto del Art. 153 bis, se requiere, además, un obrar doloso y se excluye el daño ya que el mero hecho de acceder al banco de datos sin autorización, configura un delito.

A priori y conforme las declaraciones efectuadas por los responsables, pareciera que las conductas visualizadas en las páginas web no alteraron datos, pero de la investigación surgirá si hubo acceso a los bancos de datos y, por ende, si se configuró el delito contra las bases de datos.

A partir de ahora, la violación de la privacidad mediante el acceso indebido a un sistema o dato informático y la alteración del contenido de una página web tiene sanciones que permiten perseguir las conductas indeseadas de modo autónomo.

Como se desprende del análisis del Art. 183, el daño informático puede producirse ya sea por alteración (el caso bajo análisis en ambas páginas), destrucción o inutilización, e igualmente por la introducción en un sistema de un programa destinado a causar un daño. En la primera de las conductas se exige que se produzca un daño y en la segunda la mera introducción de un programa con potencialidad dañina, ya es delito.

La Ley de Delitos Informáticos produjo modificaciones sustanciales en el CP, transformando en punibles conductas que con anterioridad no lo eran o que eran de dudosa punición, quedando en manos de la sana crítica de los jueces penales la interpretación de la norma para un caso no previsto expresamente.

Como muchos recordarán, un ataque similar se produjo en la página web de la Corte Suprema de Justicia de la Nación, al cumplirse un aniversario de la muerte del periodista José Luis Cabezas (año 2002).

En dicha oportunidad la justicia realizó una excelente labor de investigación pudiendo detectar a los responsables de haber accedido indebidamente al sistema informático de la Corte y modificado el contenido de la misma. Sin embargo, aplicando el criterio jurídico vigente en materia penal que impide la analogía, se vieron obligados de decretar la inexistencia de delito por considerar que la acción no estaba contemplada. Ello sin perjuicio de reconocer que era una acción indeseada y que generaba perjuicios, pero no podía encuadrarse en la figura penal de daño existente a dicha fecha, pese a mencionar expresamente que se había comprobado un acceso ilegítimo al sitio, producto de la violación del sistema de seguridad.

Con anterioridad y con mucha menos resonancia que en este caso, en el año 1999 el director del Centro de Cómputos de la Universidad Nacional de Río Cuarto, denunció que en varias oportunidades habían detectado ataques al servidor de la institución, que no se hallaba disponible al público, sino que tenía un acceso administrado a través de claves personales. Con las investigaciones realizadas se identificó al autor de los ataques, pero al llegar el momento de decidir su procesamiento el juez resolvió que los hechos investigados no encuadraban en ninguno de los delitos previstos por el CP debiendo desestimar la denuncia.

Para concluir, creo que la introducción del Art. 153 bis y la modificación del Art. 183 van a resultar fundamentales para el esclarecimiento de los ataques mencionados dotando al juzgador de la herramientas necesarias para sancionar las acciones realizadas, ya que como hemos analizado, en casos similares anteriores al 25/06/2008 (fecha de publicación de la Ley 26.388) la jurisprudencia argentina se había visto obligada a desestimar las denuncias en casos parecidos por no encuadrar en las conductas típicas punibles.

Macarena Pereyra Rozas es socia de Carranza Torres & Asociados, estudio especializado en asesoramiento legal en tecnología.

No comments: