Delitos Informáticos: Análisis de los Ajustes al Código Penal

Ha sido firmada por la presidencia una ley (9048) que busca la reforma de varios artículos y modificación de la sección VIII (Delitos Informáticos) del título VII del Código Penal. ¿Qué cambian? La idea es modernizar la legislación para tipificar el uso de tecnología de forma indebida como  un hecho agravador del delito. Esto es, muchos de los cambios incrementan las penas si estas involucran el uso malicioso de tecnología. Ahora bien, la idea está genial, pero hay una preocupación general por dichos cambios, siendo el gremio periodístico el que más ha alzado la voz, particularmente porque se está ajustando la legislación en lo referente a su materia prima: la información.

Es común que el temor se apodere de los profesionales cuando les tocan su machete de trabajo o su plantación,  y también es común escuchar afirmaciones que puede no tengan mucho asidero si se leen las leyes tal cual son, para bien o para mal. Es por eso que me gusta leer dichas leyes y compartir lo que entiendo. No soy abogado, pero se leer, y las palabras usadas de forma literal es lo que trato de confirmar. En este post revisaré los cambios uno por uno y presentaré mi opinión sobre los mismos, según lo que entiendo a como está escrito. Veamos.
Artículo 167. Corrupción. Este es uno de los más publicitados. He leído que se firma esta ley para proteger a nuestros niños de la corrupción a la que son objeto por seres indeseables. Pues bien, el 167 original pone pena de 3 a 8 años a quien promueve o mantenga en corrupción a menores, a menos que el delito sea más grave. El nuevo 167 dice casi lo mismo, pero incluye una sanción de 4 a 10 años si se utilizan medios informáticos para el hecho (como buscar o promocionar encuentros). Ahora, el problema es que la nueva versión elimina lo de “siempre que no constituya un delito más grave”, cosa que podría en cierto caso evitar penas mayores. Habría que consultar porqué eliminaron tal frase. Otra cosa que me extraña es que no se haya incluido ajuste a los artículos 173 y 174 que se refieren a la producción, tenencia y divulgación de pornografía infantil.  Los dos artículos son bien amplios y cubren el caso de usar medios informáticos para esos delitos, pero como dije muchos de los ajustes tienden a endurecer las penas si el hecho se da con tecnología informática, y aquí no se da ese agravante.
Artículo 196.  Este artículo busca evitar que mi correspondencia privada (entiéndase algo que yo envío o comunico a otra persona explícitamente), sea vista o apropiada por un tercero que no tenga vela en el entierro. El 196bis original también da penas diferentes si esto se hace violentando la información en medios de soporte informáticos (las suaviza), pero si son los encargados de dicho soporte las mantiene. Ahora, el nuevo 196 cambia varias cosas. Ajusta las penas, en el caso de las comunicaciones. En el 196bis Reforma el texto para que no se refiera a una comunicación, sino a la información en general contenida o recolectada en cualquier medio (datos personales dice el título, pero no aclara qué puede contarse como tal, así que se puede asumir cualquier dato). Es decir, puede ser información que yo guarde en cualquier contenedor. Si es usada sin mi permiso o para un fin diferente para la cual fue recolectada, hay cárcel. Ahora, esto se complica porque esto incluye a las redes sociales de forma explícita. Igual, las penas se agravan si quien comete el hecho es el encargado de la parte informática, pero también como dice el inciso b), si los datos están contenidos en bases de datos públicas y son de carácter público. Este inciso es muy problemático, porque entonces cualquier acceso a información que esté pública en redes sociales que pueda poner en “peligro la intimidad o privacidad y sin autorización de un tercero” da pena de cárcel. ¡En redes sociales es lo que más pasa! Siendo extremos, compartir un comentario de alguien o una foto que pueda ser “peligrosa” implica de 4 a 8 años de cárcel.

Artículo 214. Extorsión. Se incrementan las penas si la extorsión se realiza por medios informáticos. Bien.

Artículo 217bis. Fraude Informático. Ahora ya se pasaría a llamar “Estafa Informática”. Queda más explícita la tipificación. Si alguien causa perjuicio a otro en beneficio propio o de un tercero haciendo funcionar mal un sistema, va para la cárcel, pero con penas un poco más bajas. Eso sí, si el daño es contra lo público o bancos, la pena es más alta, sin importar si es externo o interno a la institución atacada. En este punto en lo personal hubiera incrementado la pena aun más si el trabajo es interno, porque es mucho más sencillo y es de los más típicos.

Artículo 229bis. Alteración de datos y sabotaje informático. Ahora se llama “Daño Informático”.  Es cuando alguien sin permiso echa a perder información de un sistema. Suaviza las penas de que antes eran de 1 a 4 años, pasando a ser de 1 a 3 años. Antes, si por esa echada a perder de los datos, el sistema se inutilizaba o se entorpecía, podía ir a la cárcel por 6 años. Esta figura se elimina, y solo se pondrá esa pena si los datos son insustituibles o irrecuperables. Esto podría calificarse de retroceso, porque ataques como los de negación de servicio quedan entonces con penas menores si se dan por la vía de modificación de datos. Sin embargo, esta parte de sabotaje se contempla en el 229ter, que expande el concepto a cosas como si el ataque es por saturación, donde los datos no son modificados, donde dichos ataques sí quedan contemplados.

Artículo 288. Espionaje. Este es otro de los artículos que la prensa está catalogando como malo para el gremio. En la versión original se establece penas para el que “procurare u obtuviere indebidamente informaciones secretas políticas o de seguridad”. El término “informaciones secretas políticas” es usado exactamente igual en el nuevo artículo 288, por tanto las lecturas sobre introducción de un nuevo tipo de delito que amordaza la prensa basadas en tal término no caben. El nuevo artículo si incrementa la pena si esto se realiza por medios informáticos. Aquí lo malo es que no arreglaron el término. No existen informaciones secretas políticas, la constitución habla de secretos de estado. Este artículo quiere defender informaciones críticas de gobierno y seguridad que deben mantenerse en secreto, y cuya divulgación beneficiaría a delincuentes o produciría daños a los procesos gubernamentales (como publicar la carta de respuesta a la Haya antes de que se conozca, y dar ventaja al país contrario por ejemplo). Pero eso no se tipifica bien, porque eso no es político, el término no es el correcto.

Artículo 299. Se le agrega el inciso 6) que incluye cuando el daño agravado se da contra la parte informática.

Ahora, viene un grueso del cambio, y es la reescritura de la sección VIII del título VII que ahora será: Delitos Informáticos y Conexos.

Artículo 230. Suplantación de Identidad. Este pena a los que crean cuentas diciendo que son otras personas existentes o incluso que hackean las cuentas reales para postear contenido. ¡Esto incluso cuando no se haga daño a terceros!  Ahora, este artículo también afectaría, según dicen, a los anónimos que usan cuentas falsa o inexistente, pero la pena será sólo si se causa daño a terceros. Esto es delicado porque hay muchos bloqueros y twiteros con este tipo de identidades y tendrán que cuidarse de lo que dicen, quedan muy vulnerables.

Artículo 231. Espionaje Informático. Básicamente hacking para obtener información y lucrar con ella será penado con cárcel.

Artículo 232.  Básicamente está penando todo lo relacionado con malware, desde la producción hasta la distribución y la ingeniería social. Todo me parece bien a excepción del inciso d), que pena la distribución de programas para crear malware. Los que llevamos cursos de Ethical Hacking para seguridad, recibimos este tipo de programas como parte del conocimiento para atacarlo. Este inciso puede afectar tales cursos y mejor es consultarlo.

Artículo 233. Este pena la suplantación de sitios. Cuando me hago pasar por el sitio de un banco por ejemplo, siempre en perjuicio de terceros. Claro, este no aplica para los defacements, cuando atacan un sitio legítimo para cambiarle “la cara” como ha pasado ya varias veces.

Artículo 234. Pena a quien facilite la ejecución de un delito, como prestar la red  o la compu o cosas de esas.

Artículo 235. Este duplica la pena del delito si este obstaculiza la lucha contra el narcotráfico. Esto tiene conflicto con el 288, dado que ahí se indica que se da de 4 a 8 años si afecta la lucha, así que no queda claro si serían 8 a 16 o si este no aplica para el 235.

Artículo 236. Difusión de Información Falsa. Este último pena la difusión de falsedades, pero cuando dichos hechos pueden causar daño a la seguridad, a la estabilidad del sistema financiero, etc.

Vistos todos los cambios, la ley es robusta pero mejorable. Se ha incluido penas para la mayoría de las acciones ilícitas de hackers. Sin embargo, quedan por fuera faltas por responsabilidad en la implementación de medidas de seguridad. Por ejemplo, si por negligencia un banco provee acceso poco seguro a la información confidencial o financiera y por eso el cliente sufre un daño, no se contempla pena para el primero. No estoy seguro si una figura así aplica.
Saludos.

Sobre el Colegio de Artistas y otras tonteras

Hay un proyecto de ley, el 18208, que propone la creación de un colegio federado de artistas. De buenas a primeras, este proyecto promete ser otra tontera mas de los diputados, ya que restringe de la manera mas discriminatoria, a “ejercer” el arte a solo los colegiados. Esto implicaría adios a muchas manifestaciones artísticas que son realmente el alma de nuestra tierra. En fin, una buena reflexion hecha por José Solano se puede leer en La Nacion: http://www.nacion.com/2012-04-05/Opinion/ni-pies-ni-cabeza-ni-sentido-comun.aspx

Ahora, Leyendo el texto del proyecto, me encuentro que el artículo de integración, (2) de dicha ley también incluye aquellos “con grados universitarios reconocidos o que, sin contar con los estudios formales, posean un grado artístico, de conformidad con la Ley N.º 8555, Integración del Régimen Artístico al Estatuto de Servicio Civil, Ley N.º 1581, mediante la adición de un título IV.”

En esta ley (http://www.pgr.go.cr/scij/Busqueda/Normativa/Normas/nrm_texto_completo.asp?param2=&nValor1=1&nValor2=58418&nValor3=0&nValor4=NO), se indica:

“Artículo 212.—Servidores artísticos. Para los efectos del presente título, son servidores artísticos los servidores del arte que han adquirido la destreza para realizar e interpretar obras artísticas, haciéndolo de manera permanente o habitual y en forma remunerada o con derecho a retribución económica y así conste por nombramiento de la institución o del órgano respectivo.” O sea, vuelve a incluir a los “no profesionales”, siempre y cuando se logre obtener remuneración y se haya adquirido destreza. PERO… para eso hay que demostrarlo y ser calificado. Los grados propuestos son: a) Artista iniciativo. b) Artista acrecentante. c) Artista posicionado. d) Artista consolidado.e) Artista emérito.

Como se podrá ver, no hay escape a ser sometido a una evaluación para obtener un grado y ser tomado como artista.

Yo soy cuentacuentos, pero como no hay carrera universitaria ni me gano la vida con esa actividad ni lo hago regulamente, no soy profesional. De querer cobrar, tendría que certificarme, sea con el registro civil o con alguna otra instutición garante de poder decir “si, este chavalo es un cuentacuentos por esto y esto”.

Ahora, hay otros artículos nefastos como la negativa a ejercer si no se pertenece al colegio, incluso de forma privada. Tan estúpido es que entonces ningún productor podría traer a Shakira si esta no se colegia primero. Pero eso son otros 100 pesos.

Los parámetros para llamarme “profesional” son similares en muchos lados: Laborar (remuneradamente) en mi oficio, que dicho oficio tenga un cuerpo de conocimiento aceptado mundialmente y que haya una manera de evaluar que yo ciertamente conozco del mismo. La idea de un grupo que habra espacios es interesando, pero si hay que afinar el resto de tonteras que indica la ley sobre pertenencia y permisos de ejercer. Por dicaha dicen que se engavetará, pero si es importante tomar en cuenta que falta por mejorar en lo que respecta al quehacer cultural y artístico, y leyes que ayuden son bienvenidas, pero que sean hechas por personas que entiendan que no es tomar cualquier ley de algo mas y hacer un reemplazo de términos en word.

Sobre condones, niñas y milenios

Leyendo los artículos de la estudiante Mónica Chaves (¿Niñas con Condones? Nación 09/05/2011) respuesta de la comunicadora Shirley Malespín (“No tapemos el sol con un dedo” Nación 12/05/2011) me deja un sinsabor que ambas hablen de cosas diferentes, que la segunda descalifique a la primera con ya reconsabidos estereotipos moralistas y que no nos detengamos a discutir el verdadero problema que tenemos entre manos. A pesar que puedo detenerme a criticar la respuesta de doña Shirley, creo que lo más importante es la discusión que menciono y por ende el resto de esta opinión aclarará un poco el problema.
Si, los números de la Encuesta Nacional de Salud Reproductiva no mienten. Tenemos un problema entre manos debido al inicio prematuro de las relaciones sexuales de nuestros niños. Pero el número no me dice nada. No nos dice si esos inicios son ilegales (con una persona mayor de edad), el grado de escolaridad, la etnia, la distribución geográfica, la cultura. Muchos factores pueden inducir el fenómeno, y para atacarlo (el del inicio de relaciones sexuales) se debe conocer las causas. En otros estudios, se ha llegado a encontrar que la baja escolaridad y la extrema pobreza influyen montones, más si los menores se inician para traer comida al hogar.

Ahora, otro problema es el del embarazo adolescente (ojo, no es lo mismo). Igualmente, el reporte del 2010 de la ONU del avance mundial en las Metas de Desarrollo del Milenio (MDM), al cual ambas articulistas nombrar confusamente como la Declaración del Milenio, Meta 5b, Mejoramiento de la Salud Materna, reporta un estancamiento en la reducción del embarazo en adolescentes. En Latinoamérica pasó del 91/1000 (nacimientos por cada 1000 mujeres entre 15 y 19 años) en 1990, a 80/1000 en el 2000 hasta 74/1000 en el 2007. Los datos de Costa Rica no los tengo porque la página web de la ONU local está fuera de servicio, pero si en el año 2008 hubo 74 284 nacimientos de los cuales 14 856 son de adolescentes y teníamos, digamos, 2 millones de mujeres, estaríamos en 37/1000 en total y tan solo 7.5/1000 en adolescentes. Este mismo reporte indica que los embarazos en adolescentes aumentan el riesgo para la madre. También indica otra vez que la pobreza y falta de educación (general) favorecen este hecho.

Ahora, la misma Meta 5b incluye una submeta sobre el porcentaje de uso de anticonceptivos en la mujer (prevalencia). La idea que es que la mujer tenga el derecho de usarlo con el objetivo de planificar. En Latinoamérica el reporte indica un 72% de mujeres (15-49 años casadas o en unión) con acceso y uso de anticonceptivos. El total para países en regiones desarrolladas esta en 71%. En Costa Rica, la Encuesta de Salud Reproductiva indica una prevalencia del 82.1% en general (sin tomar en cuenta el estado civil). Además de (comparativamente) parecer que estamos bien en ese rubro, lo interesante es el detalle. La esterilización femenina ha aumentado en un 8.9% desde 1999, mientras que el uso del condón masculino disminuye en un 6.8%. El condón masculino aún no ha calado como método anticonceptivo usado por la mujer (se solicita su uso al hombre), y si este no quiere, la mujer pierde esa “capacidad” de acceso al  anticonceptivo y debe optar por otros tipos, si puede.

Todo lo anterior me dice que realmente tenemos problemas que resolver, pero me queda la duda si estamos tan atrasados en la meta 5 del MDM (Mejorar la salud materna). Que tal en las otras? 1: Erradicar la pobreza extrema y el hambre, 2: Lograr la enseñanza primaria universal, 3: Promover la igualdad entre los géneros y la autonomía de la mujer, 4: Reducir la mortalidad infantil, 6: Combatir el VIH/SIDA, el paludismo y otras enfermedades, 7: Garantizar la sostenibilidad del medio ambiente, 8: Fomentar una asociación mundial para el desarrollo.

Lo que si es cierto, es que el MDM no dice en ningún momento que se debe promover el aborto. Dice que en los países en los que es legal, se debe dar de forma segura. En los que es ilegal, como Costa Rica, se debe evitar que se dé de forma insegura (clandestina). Esto compromete Costa Rica a trabajar fuertemente en los otros compromisos o sugerencias que sí están ahí: Proveer atención profesional pre, durante y post-embarazo, proveer acceso a los anti-conceptivos, a la educación y evitar la pobreza y mejorar salud en general de la mujer. Evitar el acoso y coacción a los jóvenes para que inicien sexualmente. El texto al que se refiere Mónica es parte de una campaña de la IPP, no de la ONU.

Por último, quiero mencionar que en los resultados de un estudio de la British Medical Journal, sobre patrones de consulta y provisionamiento de anticonceptivos previo al embarazo adolecente (BMJ 321, 08/2000), muestra que el dar información y anticonceptivos de manera indiscriminada a la población adolescente para “protegerlos” del embarazo no es suficiente. La mayoría de las jóvenes embarazadas consultaron al médico (se cae la teoría de la vergüenza o tabú como barrera), y también solicitaron anticonceptivos. De las que abortaron, había más con píldora de emergencia que con pastillas normales, y más usaron condón que las que usaron píldora. El estudio concluye que dar información y anticonceptivos no es suficiente, si no se da un seguimiento profesional por sicólogos y médicos.

Y no, la pomada canaria no se llama condón.

Banca, fraudes, jurisprudencia y acción

Publicado en La Nacion (08 Oct 2008)

Don Pablo Ureña (Dos Sentencias Preocupantes) analiza las posibles consecuencias del fallo contra el “Banco del Estado”, dictado hace algunas semanas. Hay ciertos puntos en los que no estoy muy de acuerdo. (Advierto que mi campo no son las leyes, sino la tecnología de la información).

Discrepo sobre la aplicabilidad general del fallo. Por lo poco que entiendo, la responsabilidad objetiva se aplica en este caso debido a que el servicio ofrecido por el banco creó un riesgo significativo que fue explotado por los culpables, con el agravante de que ese riesgo ya había era conocido internacionalmente (un solo nivel de autenticación no es suficiente). No estoy seguro entonces de que se pueda, o deba, aplicar igual para todos los demás casos, actuales o futuros, porque depende de si el riesgo (que sería equivalente al nivel de seguridad) presentado en el momento de la transacción es igual de significativo o agravado.

Visión de seguridad. También discrepo de la visión de seguridad. Esta nunca es completa. La seguridad de un sistema es igual a la del componente más débil. Desde el punto de vista informático, un sistema no solo es el computador central, sino todos los componentes, internos o externos, que lo conforman.

El Internet Banking, inherentemente, incluye como componente a la plataforma Internet, los navegadores de los clientes y las páginas creadas por el banco para que se realicen transacciones. Siendo así, no es cierto que el sistemas es seguro, porque su componente más débil es la interfaz web.

Puede ser que la jurisprudencia atraiga las mafias internacionales, pero estas no vendrán atraídas solo por este fallo. Vendrán por las facilidades brindadas aquí por usuarios ignorantes, un país atrasado tecnológicamente y una banca sin planteamientos serios.

Mi apreciación es que estamos tapando fallas con parches sin un análisis adecuado. ¿Ejemplos? Para incrementar su tope de transferencia obligan al cliente a enviar por internet todos los datos vitales de la tarjeta de crédito, ¡negándose a hacerlo por ventanilla! Hace años que no se practican ataques de fuerza bruta para obtener contraseñas, por lo que la práctica de cambiarlas cada 30 días es obsoleta.

No estamos preparados. Ya nadie imagina usar solo la contraseña como autenticación, por eso ya hay otras maneras de fraude más complejas que el robo de contraseñas y nosotros apenas comenzamos a atacarlo. Incluso el phish- ing ha dado paso a ataques más sofisticados, como el pharming (y este ya lleva tiempo en México). Es decir, no estamos preparados.

¿Seguros? La solución de la tarjeta de códigos es inoperante ante un ataque de “intermediario” con algo de paciencia. Lo mismo para el teclado virtual, que es solo efectivo contra keyloggers . Incluso el famoso token cae ante este ataque. La falta de fraude luego de estas “soluciones” no es prueba de seguridad. El colmo es que, para usar dichas soluciones, se obliga al usuario a renunciar a su derecho de reclamo. (Véanse condiciones obligatorias para activar las soluciones).

¿Que hacer? La lista es simple: El intermediario se anula con certificados de cliente, como los de la firma digital estancada hace meses. Los usuarios que verifiquen el emisor del certificado del banco (clic doble en el candado del navegador) y bancos publicando su numero de serie de certificado en prensa. Obvio: los usuarios deben saber qué es un certificado digital, pero, primordialmente, todas la entidades involucradas (Banca, Gobierno y usuarios), deben analizar los peligros y proponer una solución integral de defensa.