Legislación Informática en Colombia

Resumen— a través de su historia social y de derecho ennuestro país se ha ido avanzando en la creación de normas, decretos y leyes que permitan dar claridad a las actuaciones es de sus ciudadanos con respecto al tema informático y a lo que esta encierra y ha sido en la última década de la historia, donde los avances informáticos y la penetración del internet en el diario que hacer de los ciudadanos y organizaciones, que se hizo necesario dar claridad a la justicia de cómo actuar frente a tan variadas formas de delinquir en los medios electrónicos e informáticos , Colombia ha sido uno de los primeros países de Latinoamérica en penalizar los “Delitos informáticos” a través de la ley 1237 de 2009, lo que permite dar claridad a la justicia y sociedad sobre cuáles son las actuaciones a penalizar y cuáles son los bienes a proteger. Palabras clave— Leyes, Decretos, Contraseñas, Protección, Datos, Confidencialidad, Seguridad, Redes, Legislación, Colombia, I nformática. Abstract : through its social history and law in our country has progressed in creating rules, decrees and laws that allow for clarity to the proceedings is of its citizens with respect to the computer system and what is enclosed and has been in the last decade of history, where advances in computing and internet penetration in the paper that make citizens and organizations, it became necessary to provide clarity to justice for how to deal with such varied forms of crime in the electronic media and computer, Colombia has been one of the first countries in Latin America to penalize "computer crime" through the law 1237 of 2009, which allows to give clarity to justice and society on what actions to penalize and what are the assets to protect. Key Words: Authentication, User, Password, cryptography, Measures, Confidentiality, validation, public key infrastructure, communications INTRODUCCIÓN Internet es una tendencia, es algo que marco una nueva era de vivir, de comunicarse, de acceder a un mundo lleno de posibilidades, oportunidades y una forma nueva de vivir, este nuevo mundo que se une a lo que tradicionalmente venimos haciendo a creado nuevas formas de hacer las cosas, podemos pagar los servicios públicos sin necesidad de salir de casa, podemos enviar correos electrónicos a cualquier parte del mundo sin importante el momento espacio temporal, podemos guardar miles y miles de fotos en nuestros pc sin preocuparnos por donde las guardaremos o sin preocuparnos por el costo de hacerlas revelar, podemos hacer amigos en cualquier parte del mundo, conocer nuevas culturas, en fin son muchas las posibilidades que el internet a abierto para las personas, pero este nuevo mundo de opciones no solo revoluciono el que hacer de las personas , sino también el de las instituciones, empresas y gobiernos. “Constituye una fuente de recursos de información y conocimientos compartidos a escala mundial. Es también la vía de comunicación que permite establecer la cooperación y colaboración entre gran número de comunidades y grupos de interés por temas específicos”, [1] esta es una definición que enmarca lo que el internet significa para la sociedad, ahora, este auge en lo positivo tiene su contraparte negativa, los delincuentes informáticos que han aprovechado la capacidad de la red para de una u otra forma cometer delitos. Es por esto, que las diversas sociedades han visto que aparte de los delitos cometidos con algo físico como una arma , un cuchillo, algo que se empuñe, algo que se haga desde la percepción hasta llevarlo a la acción física, en el cual un individuo comete un delito al trasegar los bienes jurídicos y los derechos del otro, hay otros delitos en los cuales con un solo clic, con estrategias de ingeniería social , te puede robar tus cuentas de ahorros, la información de tu computador y muchas cosas más , en las cuales no hay una intervención directa hacia la persona, sino que se vale de medios electrónicos y digitales para cometer la fechoría, es por este razonamiento que muchos países han avanzado en la creación de leyes que regule y estipule que es y que no es un delito informático, además de sus penas y multas, Colombia a través de su historia jurídica ha venido implementando en su legislación leyes que tratan de dar algún tipo de regulación a las actividades en las cuales hay involucrados bienes y medios electrónicos. POR QUE DE LA NECESIDAD DE LEYES INFORMATICA EN COLOMBIA En nuestro país se ha visto el crecimiento de las conexiones a internet, sea desde nuestro hogar con internet fijo banda ancha, sea desde nuestro teléfono móvil con internet móvil, desde las empresas con internet dedicado, en fin lo que se evidencia es que hay un volcamiento y una realidad, el internet día a día crece tanto en sus dimensiones como en sus posibilidades de acceder a ella. Legislación Informática en Colombia Julio Cesar Herrera M Universidad Nacional Abierta Y A Distancia - UNAD Colombia [email protected] Fig. 1. Número de suscriptores internet Fijo en Colombia Fuente: http://mintic.gov.co Como vemos en la gráfica en el número de suscriptores a internet desde el hogar ha crecido en una forma muy significativa, vemos que a el 3 periodo del 2013 la variación respecto al 2010 fue del 91% pasamos de 2.300.000 suscriptores en 2010 a cerca de 4.500.000 en 2013. [2] Fig. 2. Total Internet Móvil Fuente: http://www.mintic.gov.co También uno de los medios para conectarse a la gran red es el internet móvil, esta red en los últimos años ha crecido, en el 2010 se terminó con cerca de 12 millones de suscriptores y para finales del 2013 terminamos con un poco más de 19 millones de suscriptores. [3] Todas estas cifras hablan de una realidad clara, las conexiones a internet seguirán subiendo y esto mismo genera que los usuarios cada vez utilicen más servicios ligados a internet ligados a las App de los celulares y así mismo las empresas de servicios, las gubernamentales, quieran ofrecer algún tipo de conexión desde la web. Esta abundancia de forma de conectarse a la web y de servicios y aplicaciones, hace que información importante viaje y esta almacenada a través de la gran red información como correos, claves de acceso a sitios web, claves y números de tarjetas de crédito, archivos confidenciales, que pueden ser sujetos a algún tipo de delito informático. LA LEY DE DELITOS INFORMATICOS EN COLOMBIA La ley 1273 de 2009 “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”. El primer capítulo de los dos en que está dividida la Ley, trata de los atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos. El segundo Capítulo se refiere a los atentados informáticos y otras infracciones. A partir de la Ley 1273 de 2009, se tipificaron los delitos informáticos en Colombia en los siguientes términos: acceso abusivo a un sistema informático (modificado del Código Penal); obstaculización ilegítima del sistema informático o red de telecomunicación; interceptación de datos informáticos; daño informático; uso de software malicioso; hurto por medios informáticos y semejantes; violación de datos personales; suplantación de sitios web para capturar datos personales y transferencia no consentida de activos. Este marco jurídico se ha convertido en una importante contribución y un instrumento efectivo para que toda la sociedad y sus entidades públicas y privadas puedan conocer, relacionar y enfrentar los “delitos informáticos”, con definiciones de procedimientos y políticas de seguridad de la información, que en la actualidad se visualiza como una necesidad sentida de las organizaciones y del común. Fig 3. Políticas de Seguridad en Colombia Fuente: http://www.acis.org.co Como vemos en la encuesta hecha a 162 empresas hay un crecimiento de madurez con respecto al tema informático, hay un 45.06% de los encuestados dice tener una política formal de seguridad escrita y un 38% en desarrollo de la misma [4], ahora la inclusión de Ley 1273 en nuestro ámbito legal, da las herramientas y blinda a las empresas de los posibles ataques que se pueden dar y, en consecuencia, con las acciones 0 1.000.000 2.000.000 3.000.000 4.000.000 5.000.000 2 0 1 0 - 1 T 2 0 1 0 - 3 T 2 0 1 1 - 1 T 2 0 1 1 - 3 T 2 0 1 2 - 1 T 2 0 1 2 - 3 T 2 0 1 3 - 1 T 2 0 1 3 - 3 T Numero de Suscriptores internet fijo Numero de Suscriptores 0 5.000.000 10.000.000 15.000.000 20.000.000 25.000.000 Conexión Nuevas Demanda Total Conexiones penales que pueden adelantar contra las personas que incurran en las conductas tipificadas en la norma. Con ella, Colombia se ubica al mismo nivel de los países miembros de la Comunidad Económica Europea (CEE), los cuales ampliaron al nivel internacional los acuerdos jurídicos relacionados con la protección de la información y los recursos informáticos de los países, mediante el Convenio ‘Cibercriminalidad’, suscrito en Budapest, Hungría, en 2001 y vigente desde julio de 2004. El capítulo I se dirige principalmente a los administradores de seguridad y a los diversos profesionales que se orientan especialmente a apoyar la labor de los grupos de auditores de seguridad informática, de auditoria informática ,ya que apunta al aseguramiento de las condiciones de calidad y seguridad de la información en la organizaciones públicas y privadas, en este capítulo se hace referencia a los “atentados contra la confidencialidad, la integridad y la disponibilidad de los datos y de los sistemas informáticos”. Tres pilares que la seguridad informática siempre vela por cumplir y que pone al a información como uno de los activos principales de las organizaciones y que se hacen necesario proteger adecuadamente para garantizar la continuidad del negocio, contrarrestando todas esas posibles actuaciones delictivas. El artículo 1 de la Ley 1273 de 2009 incorpora al Código Penal el Artículo 269A y complementa el tema relacionado con el “acceso abusivo a un sistema informático”, que se hace realidad cuando los denominados Hackers partiendo de sus altos conocimientos informáticos se valen de las vulnerabilidades o de normas de seguridad informática para obtener beneficios económicos de las mismas, en muchas ocasiones este acceso abusivo se da por parte de los mismos trabajadores” en el caso de las organizaciones” que aprovechando su conocimiento en el sistema para acceder de forma abusiva, el castigo para este evento es incurrir en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. El artículo 269B contempla como delito la “obstaculización ilegítima del sistema informático o red de telecomunicación”, y se origina cuando el hacker informático bloquea en forma ilegal un sistema o impide su ingreso por un tiempo, hasta cuando obtiene un beneficio por lo general económico. Aquí también se enmarca el acceso a cuentas de correo electrónico sin el debido consentimiento de sus propietarios y el manejo o bloqueo de las claves obtenidas de forma ilegal a través de diversos mecanismos de interceptación de información incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes, siempre que la conducta no constituya delito sancionado con una pena mayor. El artículo 269C plantea la infracción relacionada con la “interceptación ilícita de datos informáticos” Se presenta cuando una persona, valiéndose de los recursos tecnológicos, obtenga datos sin autorización legal, en su sitio de origen, en el destino o en el interior de un sistema informático, o de emisiones electromagnéticas de un sistema electromagnético que los transporte, este tipo de situaciones se ha evidenciado mucho en la actualidad con interceptaciones como el sonado caso del Hacker Andrés Sepúlveda donde fue acusado de los delitos de violación ilícita de comunicaciones, uso de software malicioso, interceptación de datos informáticos y espionaje [5], el que cometa este delito incurrirá en pena de prisión de treinta y seis (36) a setenta y dos (72) meses. Con respecto al delito relacionado con los “daños informáti- cos” está contemplado en el Artículo 269D y se comete cuando una persona que sin estar autorizada, modifica, altera, daña, borra, destruye o suprime datos del programa o de documentos electrónicos, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. Ahora el artículo 269E plantea el delito vinculado con el “uso de software malicioso” este software se puede definir como Malware que se define como “El software malintencionado también recibe el nombre de software malicioso. El software malintencionado es todo aquel software no deseado que se instala sin su consentimiento. Virus, los gusanos y los troyanos son ejemplos de software malicioso [6]” El delito se presenta cuando se producen, adquieren, venden, distribuyen, envían, introducen o extraen del país software o programas de computador que producen daños en los recursos tecnológicos de empresas o personas incurrirá en pe-na de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. El artículo 269F está orientado a proteger los datos personas y todo lo que esto se puede significar el cual se cataloga como “violación de datos personales” Se da El que, sin estar facultado para ello, con provecho propio o de un tercero, obtenga, compile, sustraiga, ofrezca, venda, intercambie, envíe, compre, intercepte, divulgue, modifique o emplee códigos personales, datos personales contenidos en ficheros, archivos, bases de datos o medios semejantes, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes. El artículo 269G habla sobre la “suplantación de sitios web para capturar datos personales”. Esto popularmente se llama como Phising y se genera cuando un delincuente informático crea un sitio web falso similar en toda su estructura en algún Hosting (donde se almacena la página) y un nombre también muy similar al original, el engaño se maximiza ya que a través de correos basura (Spam) le llegue a la víctima algún tipo de información o invitación( por ejemplo de bancos, de empresas de correos etc.) a una página determinada , este correo parece real y da algún tipo de enlace, el usuario a darlo lo conduce a la página falsa, las personas inocentemente suministran información personal y claves bancarias que el suplantador almacena en una base de datos y luego ordena la transferencia del dinero de la víctima a cuentas de terceros quienes prestan sus cuentas o servicios (testaferros), que luego reclama o distribuye. Fig. 4, Ejemplo de correo falso con invitación Fuente : http://www.spamloco.net/ Fig 5 Ejemplo de página falsa Fuente http://edgar-cg.blogspot.com/2012/01/dos-ejemplos- de-phishing-hotmail-y.html Ahora en el Artículo 269 H. se habla de unas Circunstancias de agravación punitiva, que son unas circunstancias que agravan el delito y maximiza las penas o hacen del delito algo más grave, Las penas imponibles de acuerdo con los artículos descritos en este título, se aumentarán de la mitad a las tres cuartas partes si la conducta se cometiere: 1. Sobre redes o sistemas informáticos o de comunicaciones estatales u oficiales o del sector financiero, nacionales o extranjeros. 2. Por servidor público en ejercicio de sus funciones 3. Aprovechando la confianza depositada por el poseedor de la in-formación o por quien tuviere un vínculo contractual con este. 4. Revelando o dando a conocer el contenido de la información en perjuicio de otro. 5. Obteniendo provecho para sí o para un tercero. 6. Con fines terroristas o generando riesgo para la seguridad o defensa nacional. 7. Utilizando como instrumento a un tercero de buena fe. 8. Si quien incurre en estas conductas es el responsable de la administración, manejo o control de dicha información, además se le impondrá hasta por tres años, la pena de inhabilitación para el ejercicio de profesión relacionada con sistemas de información procesada con equipos computacionales. Es de anotar que estos tipos penales obligan tanto a empresas como a personas naturales a prestar especial atención al tratamiento de equipos informáticos así como al tratamiento de los datos personales más teniendo en cuenta la circunstan- cia de agravación del inciso 3 del artículo 269H que señala “por quien tuviere un vínculo contractual con el poseedor de la información”. Por lo tanto, se hace necesario tener unas condiciones de contratación, tanto con empleados como con contratistas, claras y precisas para evitar incurrir en la tipificación penal. CONCLUSIONES Nuestro país ha dado un paso gigante en la creación de normas que protejan muy explícitamente los bienes como los son los datos y la información, con la Ley 1273 se da un paso importante en la lucha contra los delitos informáticos y hace una invitación a la sociedad en general que sean unos agentes de prevención de estos delitos contemplados en estas leyes. Ahora a parte de la prevención se hace necesario crear una conciencia colectiva entre todos los actores que hacen parte de un mundo interconectado, los usuarios, los proveedores de servicios de internet, las empresas que brindan algún servicio web , los abogados, los jueces , los fiscales, las empresas con sus empleados y contratistas, los profesionales de sistemas para que puedan capacitarse y estar a la vanguardia desde sus actividades diarias sobre estas leyes de delitos informáticos para evitar que de alguna forma incauta se cometa algún delito y también para e una u otra forma tomar las medidas para no ser víctimas de algún delito de los que contempla esta ley. REFERENCIAS I. TRABAJOS CITADOS [1 ] M. Luque, «Solo Ciencia,» [En línea]. Available: http://www.solociencia.com/informatica/influencia- internet-sociedad-actual.htm. [Último acceso: 07 06 2014]. [2 ] Min TIC, «Ministerio de la Tecnologia de la informacion y comunicacion,» Uso de Internet Movil, [En línea]. Available: http://colombiatic.mintic.gov.co/estadisticas/stats.php?id=1 4. [Último acceso: 08 06 2014]. [3 ] MinTic, «Ministerio de Tecnologia de la Información y Comunicacion,» Suscriptores Internet Fijo, 14 03 2014. [En línea]. Available: http://colombiatic.mintic.gov.co/estadisticas/stats.php?id=4 8. [Último acceso: 08 06 2014]. [4 ] Andres R. Almanza, «Asociacion Colombiana de Ingenieros de Sistemas,» ENCUESTA. SEGURIDAD INFORMÁTICA EN COLOMBIA TENDENCIAS 2012- 2013, 20 06 2013. [En línea]. Available: http://www.acis.org.co/revistasistemas/index.php/ediciones -revista-sistemas/edicion-no127/item/132-seguridad- inform%C3%A1tica-en-colombia-tendencias-2012-2013. [Último acceso: 08 06 2014]. [5 ] El Pais, «www.elpais.com.co,» Recapturan al 'hacker' Andrés Sepúlveda involucrado en 'chuzadas', 10 06 2014. [En línea]. Available: http://www.elpais.com.co/elpais/elecciones/noticias/recaptu ran-hacker-andres-sepulveda-involucrado-chuzadas. [Último acceso: 10 06 2014]. [6 ] «Microsoft,» ¿Qué es el software malintencionado?, [En línea]. Available: http://www.microsoft.com/es- xl/security/resources/malware-whatis.aspx. [Último acceso: 05 06 2014]. [7 ] «Acueducto Popayan,» 2. [En línea]. Available: http://acueductopopayan.com.co/wp- content/uploads/2012/08/ley-1273-2009.pdf. [Último acceso: 08 06 2014]. [8<< Manjarrés, I & Jiménez, F. (2012). Caracterización de los delitos informáticos en Colombia. Pensamiento Americano, 71-82 Avalable : http://coruniamericana.edu.co/publicaciones/ojs/index.php/ pensamientoamericano Ultimo Acceso : 08 06 2014] BIOGRAFIA Julio Cesar Herrera, Nació en armenia Quindío el 10 de Julio de 1979, graduado de tecnólogo en sistemas de la Univalle e ingeniero de sistemas de la UAN, actualmente desarrolla estudios de especialización en seguridad informática en la UNAD, Su experiencia pasa desde el sector privado hasta el público en la parte de informática, con roles administrativos y operativos, también despeñándose como docente universitario en la UCEVA de Tuluá.