Ha sido firmada por la presidencia una ley (9048) que busca la reforma de varios artículos y modificación de la sección VIII (Delitos Informáticos) del título VII del Código Penal. ¿Qué cambian? La idea es modernizar la legislación para tipificar el uso de tecnología de forma indebida como  un hecho agravador del delito. Esto es, muchos de los cambios incrementan las penas si estas involucran el uso malicioso de tecnología. Ahora bien, la idea está genial, pero hay una preocupación general por dichos cambios, siendo el gremio periodístico el que más ha alzado la voz, particularmente porque se está ajustando la legislación en lo referente a su materia prima: la información.

Es común que el temor se apodere de los profesionales cuando les tocan su machete de trabajo o su plantación,  y también es común escuchar afirmaciones que puede no tengan mucho asidero si se leen las leyes tal cual son, para bien o para mal. Es por eso que me gusta leer dichas leyes y compartir lo que entiendo. No soy abogado, pero se leer, y las palabras usadas de forma literal es lo que trato de confirmar. En este post revisaré los cambios uno por uno y presentaré mi opinión sobre los mismos, según lo que entiendo a como está escrito. Veamos.
Artículo 167. Corrupción. Este es uno de los más publicitados. He leído que se firma esta ley para proteger a nuestros niños de la corrupción a la que son objeto por seres indeseables. Pues bien, el 167 original pone pena de 3 a 8 años a quien promueve o mantenga en corrupción a menores, a menos que el delito sea más grave. El nuevo 167 dice casi lo mismo, pero incluye una sanción de 4 a 10 años si se utilizan medios informáticos para el hecho (como buscar o promocionar encuentros). Ahora, el problema es que la nueva versión elimina lo de “siempre que no constituya un delito más grave”, cosa que podría en cierto caso evitar penas mayores. Habría que consultar porqué eliminaron tal frase. Otra cosa que me extraña es que no se haya incluido ajuste a los artículos 173 y 174 que se refieren a la producción, tenencia y divulgación de pornografía infantil.  Los dos artículos son bien amplios y cubren el caso de usar medios informáticos para esos delitos, pero como dije muchos de los ajustes tienden a endurecer las penas si el hecho se da con tecnología informática, y aquí no se da ese agravante.
Artículo 196.  Este artículo busca evitar que mi correspondencia privada (entiéndase algo que yo envío o comunico a otra persona explícitamente), sea vista o apropiada por un tercero que no tenga vela en el entierro. El 196bis original también da penas diferentes si esto se hace violentando la información en medios de soporte informáticos (las suaviza), pero si son los encargados de dicho soporte las mantiene. Ahora, el nuevo 196 cambia varias cosas. Ajusta las penas, en el caso de las comunicaciones. En el 196bis Reforma el texto para que no se refiera a una comunicación, sino a la información en general contenida o recolectada en cualquier medio (datos personales dice el título, pero no aclara qué puede contarse como tal, así que se puede asumir cualquier dato). Es decir, puede ser información que yo guarde en cualquier contenedor. Si es usada sin mi permiso o para un fin diferente para la cual fue recolectada, hay cárcel. Ahora, esto se complica porque esto incluye a las redes sociales de forma explícita. Igual, las penas se agravan si quien comete el hecho es el encargado de la parte informática, pero también como dice el inciso b), si los datos están contenidos en bases de datos públicas y son de carácter público. Este inciso es muy problemático, porque entonces cualquier acceso a información que esté pública en redes sociales que pueda poner en “peligro la intimidad o privacidad y sin autorización de un tercero” da pena de cárcel. ¡En redes sociales es lo que más pasa! Siendo extremos, compartir un comentario de alguien o una foto que pueda ser “peligrosa” implica de 4 a 8 años de cárcel.

Artículo 214. Extorsión. Se incrementan las penas si la extorsión se realiza por medios informáticos. Bien.

Artículo 217bis. Fraude Informático. Ahora ya se pasaría a llamar “Estafa Informática”. Queda más explícita la tipificación. Si alguien causa perjuicio a otro en beneficio propio o de un tercero haciendo funcionar mal un sistema, va para la cárcel, pero con penas un poco más bajas. Eso sí, si el daño es contra lo público o bancos, la pena es más alta, sin importar si es externo o interno a la institución atacada. En este punto en lo personal hubiera incrementado la pena aun más si el trabajo es interno, porque es mucho más sencillo y es de los más típicos.

Artículo 229bis. Alteración de datos y sabotaje informático. Ahora se llama “Daño Informático”.  Es cuando alguien sin permiso echa a perder información de un sistema. Suaviza las penas de que antes eran de 1 a 4 años, pasando a ser de 1 a 3 años. Antes, si por esa echada a perder de los datos, el sistema se inutilizaba o se entorpecía, podía ir a la cárcel por 6 años. Esta figura se elimina, y solo se pondrá esa pena si los datos son insustituibles o irrecuperables. Esto podría calificarse de retroceso, porque ataques como los de negación de servicio quedan entonces con penas menores si se dan por la vía de modificación de datos. Sin embargo, esta parte de sabotaje se contempla en el 229ter, que expande el concepto a cosas como si el ataque es por saturación, donde los datos no son modificados, donde dichos ataques sí quedan contemplados.

Artículo 288. Espionaje. Este es otro de los artículos que la prensa está catalogando como malo para el gremio. En la versión original se establece penas para el que “procurare u obtuviere indebidamente informaciones secretas políticas o de seguridad”. El término “informaciones secretas políticas” es usado exactamente igual en el nuevo artículo 288, por tanto las lecturas sobre introducción de un nuevo tipo de delito que amordaza la prensa basadas en tal término no caben. El nuevo artículo si incrementa la pena si esto se realiza por medios informáticos. Aquí lo malo es que no arreglaron el término. No existen informaciones secretas políticas, la constitución habla de secretos de estado. Este artículo quiere defender informaciones críticas de gobierno y seguridad que deben mantenerse en secreto, y cuya divulgación beneficiaría a delincuentes o produciría daños a los procesos gubernamentales (como publicar la carta de respuesta a la Haya antes de que se conozca, y dar ventaja al país contrario por ejemplo). Pero eso no se tipifica bien, porque eso no es político, el término no es el correcto.

Artículo 299. Se le agrega el inciso 6) que incluye cuando el daño agravado se da contra la parte informática.

Ahora, viene un grueso del cambio, y es la reescritura de la sección VIII del título VII que ahora será: Delitos Informáticos y Conexos.

Artículo 230. Suplantación de Identidad. Este pena a los que crean cuentas diciendo que son otras personas existentes o incluso que hackean las cuentas reales para postear contenido. ¡Esto incluso cuando no se haga daño a terceros!  Ahora, este artículo también afectaría, según dicen, a los anónimos que usan cuentas falsa o inexistente, pero la pena será sólo si se causa daño a terceros. Esto es delicado porque hay muchos bloqueros y twiteros con este tipo de identidades y tendrán que cuidarse de lo que dicen, quedan muy vulnerables.

Artículo 231. Espionaje Informático. Básicamente hacking para obtener información y lucrar con ella será penado con cárcel.

Artículo 232.  Básicamente está penando todo lo relacionado con malware, desde la producción hasta la distribución y la ingeniería social. Todo me parece bien a excepción del inciso d), que pena la distribución de programas para crear malware. Los que llevamos cursos de Ethical Hacking para seguridad, recibimos este tipo de programas como parte del conocimiento para atacarlo. Este inciso puede afectar tales cursos y mejor es consultarlo.

Artículo 233. Este pena la suplantación de sitios. Cuando me hago pasar por el sitio de un banco por ejemplo, siempre en perjuicio de terceros. Claro, este no aplica para los defacements, cuando atacan un sitio legítimo para cambiarle “la cara” como ha pasado ya varias veces.

Artículo 234. Pena a quien facilite la ejecución de un delito, como prestar la red  o la compu o cosas de esas.

Artículo 235. Este duplica la pena del delito si este obstaculiza la lucha contra el narcotráfico. Esto tiene conflicto con el 288, dado que ahí se indica que se da de 4 a 8 años si afecta la lucha, así que no queda claro si serían 8 a 16 o si este no aplica para el 235.

Artículo 236. Difusión de Información Falsa. Este último pena la difusión de falsedades, pero cuando dichos hechos pueden causar daño a la seguridad, a la estabilidad del sistema financiero, etc.

Vistos todos los cambios, la ley es robusta pero mejorable. Se ha incluido penas para la mayoría de las acciones ilícitas de hackers. Sin embargo, quedan por fuera faltas por responsabilidad en la implementación de medidas de seguridad. Por ejemplo, si por negligencia un banco provee acceso poco seguro a la información confidencial o financiera y por eso el cliente sufre un daño, no se contempla pena para el primero. No estoy seguro si una figura así aplica.
Saludos.