Un delito es un delito es un delito. Esta alusión al poema “Sacred Emily” de Gertrude Stein (“Rose is a rose is a rose is a rose”) parece gratuita en el ámbito de la impartición de justicia, pero cuando se habla de ciberdelitos, es decir, de aquellos actos que suceden a través de las tecnologías de la información y la comunicación, este verso parece reducir la discusión sobre el concepto legal a sus mínimos posibles.

Dicha discusión sobre los delitos informáticos y su tipificación dentro de los ordenamientos jurídicos en México enfrenta, por lo general, dos posturas: aquella que ve como indispensable una reforma legislativa para incluir un catálogo de delitos que regule el uso de internet y los dispositivos informáticos frente a quienes piensan que si bien es necesario examinar la legislación actual para adecuarla de forma pormenorizada al uso de la tecnología, también es preciso que abogados, policías de investigación, ministerios públicos y jueces reciban capacitación constante para saber cómo adecuar y procesar un ciberdelito respecto de la norma vigente. 

Un delito es el acto u omisión que sancionan las leyes penales, de acuerdo al Código Penal Federal mexicano, el cual añade que un delito puede ser instantáneo, permanente o continuado y que puede realizarse de forma dolosa o culposa. Esta definición es suficiente para los fines que persigue, pero parece agotarse en sí misma.

Siguiendo la teoría del delito, el doctor Alfredo Reyes Krafft, socio del despacho Lex Informática, refiere que un delito es una conducta humana típica, antijurídica y culpable, por lo que un delito es una actividad realizada por una persona, que está expresamente prohibida, que va contra el orden jurídico y que es reprochable. Bajo esta definición, un delito es independiente del medio tecnológico por el que se lleve a cabo.

“El robo, independientemente de la tecnología que una persona utilice para llevarlo a cabo, no dejará de tipificarse como delito de robo”, dijo Reyes Krafft. 

La ley penal mexicana, contenida tanto en el Código Penal Federal como en los códigos de los estados, incluye una diversidad de delitos que se encuentran debidamente tipificados y sancionados de acuerdo con una serie de variables, como su gravedad, intención o responsabilidad, de forma separada a si se cometieron en el mundo físico o en el mundo digital.

Marco jurídico del ciberdelito

La definición de delito abarca a la mayoría de las actividades punibles, según los ordenamientos jurídicos federales o estatales, que se llevan a cabo a través de medios informáticos. Se les conoce comúnmente como ciberdelitos y engloban acciones como phishing, pharming, ciberacoso, usurpación de identidad, ciberterrorismo o instalación y ejecución de ransomware, por ejemplo.

El llamado phishing (de pescar, en inglés) hace referencia a la persuasión cometida contra una persona a través de medios digitales con el fin de que entregue información de manera voluntaria mediante algún tipo de engaño. Dentro de esta actividad caben los enlaces enviados por aplicaciones de mensajería instantánea y por correo electrónico o los que se encuentran publicados en redes sociales, e incluso, el redireccionamiento de sitios y páginas de internet que suplantan a otras, al que se le ha denominado pharming, y cuyo fin es que el usuario registre cierta información, como datos personales o número de cuentas bancarias y contraseñas, en campos a los que otra persona tiene acceso con facilidad. 

El phishing es utilizado para acceder a información bancaria o financiera del usuario de un dispositivo informático, con el fin de cometer el delito de fraude, el cual se encuentra tipificado en el Código Penal Federal. Este delito también figura en la mayoría de los códigos penales estatales y en algunos casos —como en Colima— la utilización de medios informáticos o electrónicos para llevarlo a cabo supone una consideración especial. 

Sin embargo, el phishing también puede ser ejecutado con otros fines, como tomar el control de un dispositivo electrónico, extraer información confidencial o secuestrar información para realizar una extorsión, lo que se conoce como ransomware (de secuestro, en inglés), y que también está tipificada en el ordenamiento penal federal.

Lo mismo ocurre con otros delitos, como la comercialización de obras protegidas por el derecho de autor o piratería, la revelación de secretos industriales, la clonación de tarjetas y medios de pago, las amenazas, el uso no autorizado de imagen, la difamación e, incluso, la pornografía infantil. Estas faltas, que pueden ser llevadas a cabo a través de medios informáticos o con acciones en el mundo físico, se encuentran tipificadas en los códigos penales y en algunas leyes especiales. “Lo que hay que hacer es un ejercicio de tipificación de la conducta, que dicha conducta se adecue al tipo penal en específico”, dijo Reyes Krafft.

Para Cynthia Solís, también socia de Lex Informática, la labor de dicho ejercicio corresponde al ministerio público o al juez. Esto puede constituir un problema si las autoridades carecen de los conocimientos técnicos para adecuar la conducta a un tipo de delito en específico.

Deficiencias

Para Reyes Krafft, el que existan estos tipos penales dentro del marco jurídico mexicano no supone que su redacción —y por tanto sus implicaciones— sea la más adecuada para perseguir ciberdelitos, lo que ha generado una gran cantidad de conflictos tanto en su interpretación como en su puesta en práctica.

La deficiencia en la redacción de ordenamientos jurídicos que hacen referencia a delitos informáticos se debe, de acuerdo con los especialistas, al desconocimiento de los legisladores acerca de temas vinculados a las tecnologías de la información. Esto se ha vuelto una constante a escala federal y en los marcos legales de las entidades. Códigos penales como el de Sinaloa o Puebla tipifican de forma expresa delitos informáticos, pero la redacción de los artículos conlleva una confusión de conceptos que no abona al esclarecimiento de este tipo de acciones ilícitas.

Propuestas

En este momento se encuentra en comisiones de la Cámara de Diputados, en calidad de pendiente, una iniciativa propuesta por la diputada Sofía González Torres, del grupo parlamentario del Partido Verde, y por el diputado Waldo Fernández, del PRD, la cual busca reformar y adicionar diversas disposiciones tanto del Código Penal Federal como del

Código Nacional de Procedimientos Penales en materia de delitos informáticos, evidencias digitales y medidas de cooperación internacional para combatir el ciberdelito. 

Estas reformas y adiciones incluyen una “reingeniería normativa a los delitos que están relacionados con los sistemas informáticos o que son cometidos con el uso de las tecnologías de la información y comunicación”, como es el caso de los delitos de pornografía de personas menores de 18 años y el de acceso ilícito a sistemas y equipos de informática.

Además, la propuesta supone la adición de un delito cometido por quien “intercepte de forma deliberada sin autorización o excediendo la que posea, sin permiso o consentimiento legalmente reconocido por cualquier medio técnico, datos informáticos, información o comunicaciones dirigidas, originadas o efectuadas en o dentro de un sistema informático o sistema que utilice sistemas de tecnologías de información y comunicación incluidas las emisiones electromagnéticas que transporten datos, información o comunicaciones” y la de una fracción XXII al artículo 387 para tipificar el fraude informático.

La iniciativa también busca introducir un catálogo de delitos informáticos dentro del Capítulo III del Código Penal Federal, el cual considere actividades como el “abuso de dispositivos”, la “falsificación informática” y la “usurpación de identidad ajena”, según el documento publicado en la Gaceta Parlamentaria el 7 de noviembre del 2017. Esta propuesta pretende agregar también una sección al Código Nacional de Procedimiento Penales, que abarque los actos de investigación necesarios para la obtención de evidencias digitales y que regule la conservación, registro y preservación de datos informáticos almacenados, la obtención de datos en tiempo real; así como la protección de datos personales en investigaciones y la obtención de datos almacenados en otro Estado. 

Para los especialistas, más que una miscelánea de nuevos delitos, lo que hace falta para corregir las deficiencias en los ordenamientos judiciales en cuanto a la tipificación de ciberdelitos es una reforma quirúrgica, de precisión, que permita hacer más aplicable el marco jurídico existente.

“En la práctica, no se ha logrado tener una iniciativa que sea congruente y que sea aceptada tanto por la sociedad civil como por la industria, por lo que la recomendación es trabajar con lo ya existente en lugar de proponer reformas estructurales”, dijo Cynthia Solís. 

Un ejemplo de esto es que si se considera que el delito de usurpación de identidad ya existe en los códigos penales estatales, como el de la Ciudad de México y el del Estado de México, sólo es necesario homologarlo y hacer que figure en el ordenamiento federal, sin importar si se lleva a cabo mediante dispositivos informáticos o con instrumentos físicos. 

A esto también debe sumarse la elaboración de Normas Oficiales Mexicanas que permitan que la industria se adecue a estándares de seguridad, para que los usuarios de los sistemas informáticos puedan utilizarlos de forma más segura y confiable, con el conocimiento de que existirán protocolos de cooperación entre los propios proveedores de servicios. NYCE, el organismo mexicano dedicado al desarrollo de estándares para la industria, ha elaborado normas que buscan satisfacer la necesidad de marcos jurídicos claros y específicos para la industria; sin embargo, estas normas aún no se han elevado a la categoría oficial (NOM).

También la sociedad civil ha impulsado esfuerzos para que a las personas que hagan uso de los sistemas informáticos les sea más sencillo presentar una denuncia en caso de haber sido víctimas de un delito vinculado a estas tecnologías. 

CYnergia es una plataforma desarrollada por el Consejo Cívico de Instituciones de Coahuila, A. C. cuyo objetivo es hacer un monitoreo de los ciberdelitos cometidos principalmente en el estado de Coahuila, pero que también agrega aquellos ocurridos en otras partes del país. 

“Se cree que México no tiene regulación en materia de ciberdelitos, pero si bien las leyes no especifican que deben ocurrir o que han ocurrido en redes sociales o en sistemas informáticos, los delitos existen y tienen una penalización; lo que sí hace falta es un esfuerzo en la capacitación de ministerios públicos, de la defensoría y de los jueces, para poder conservar y recibir como pruebas aquello que se genere a través de medios digitales”, dijo Alejandra Wade, directora del Consejo Cívico de Instituciones de Coahuila.

Wade también mencionó el compromiso del presidente Enrique Peña Nieto para impulsar una estrategia de ciberseguridad, la cual si bien se concretó a finales de 2017 con la publicación de la Estrategia Nacional de Ciberseguridad (ENCS), parece haber llegado demasiado tarde, por el momento que cruza la Administración federal, a menos de un año de concluir sus labores.

Para la doctora Anahiby Becerril, miembro de la Academia Multidisciplinaria en Derecho y Tecnologías A. C., este documento es un buen primer paso que demuestra la voluntad por establecer un marco jurídico adecuado y congruente con las necesidades de la población en su relación con la tecnología. Sin embargo, la importancia radica en la implementación que se le dé a la estrategia y el problema que representa su continuidad en el marco del proceso electoral de este año. 

“Nuestra preocupación es que el ganador debería darle continuidad a esta estrategia y la percepción que existe es que es probable que esto no ocurra”, dijo la doctora Anahiby Becerril. 

Las dos posturas que se enfrentan en relación con la ciberseguridad pueden ser integradas a través de los objetivos y los ejes transversales que impulsa la Estrategia Nacional de Ciberseguridad (ENCS). El momento político que vive el país hace que se olvide que una estrategia es una estrategia es una estrategia, que requiere de continuidad. 

rodrigo.riquelme@eleconomista.mx