Con 403 votos a favor, ninguno en contra y ninguna abstención, la Cámara de Diputados aprobó el 30 de abril pasado, en lo general y en lo particular, la propuesta de decreto por la que se reforma el artículo 211 bis 1 del Código Penal federal que hace referencia al delito de hackeo, por el cual una persona, sin autorización, destruya, modifique o provoque pérdida de información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad.  

Con esta reforma, que pasó para su votación a la Cámara de Senadores, las penas contra quien realice este delito se aumentarán desde seis meses a dos años de prisión y de 100 a 300 días de multa (8,449 a 25,347 pesos) hasta de dos a cinco años y de 300 a 600 días de multa (25,347 a 50,694 pesos).

La modificación también contempla un incremento de las penas contra quien, sin autorización, cometa hackeo al conocer o copiar información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad. Las penas por este delito, en caso de que la reforma sea ratificada por los senadores, pasarán desde los tres meses al año de prisión y de 50 a 150 días de multa (4,224 a 12,637 pesos) hasta de seis meses a tres años de prisión y de 150 a 250 días de multa (12,637 a 21,122 pesos).

La modificación propuesta por el diputado del grupo parlamentario del PAN, José Salvador Rosas Quintanilla, añade que las penas previstas en este artículo se incrementarán hasta en una mitad cuando se vulnere la información financiera de la víctima como resultado de la comisión de estos delitos.

Si bien después de que concluyera el periodo ordinario de sesiones el 30 de abril y aunque se aprobó un periodo extraordinario para el próximo 8 de mayo, esta iniciativa no entró entre los temas a discutir, por lo que será en el próximo periodo ordinario, que inicia el 1 de septiembre, cuando se envíe a la comisión dictaminadora del Senado para su posterior discusión y posible aprobación.

En su argumentación ante el pleno de la Cámara de Diputados, Rosas Quintanilla dijo que “tan solo en 2017, nueve de cada diez bancos que operan en América Latina estuvieron sujetos a ciberataques. En México, las instituciones públicas, privadas y usuarios particulares sufrieron un total de 19 millones de ataques, lo que posiciona a nuestro país como el primer lugar en Latinoamérica y el sexto a nivel global”.

Agregó que estos crímenes supusieron la pérdida de alrededor de 7,000 millones de dólares durante el 2017 tanto para los usuarios como para las instituciones y el gobierno, algo que se vio reflejado en el incremento de 71% de las incidencias en esta actividad delictiva, lo que afectó a cerca de 33 millones de personas.  

Multas no son suficientes

Por estas razones, dijo que era una obligación del Poder Legislativo velar por que la legislación sea adecuada para combatir y prevenir estos delitos, por lo que consideraba necesario “replantear las medidas con las cuales puede ser abordado y combatido el problema”.

De acuerdo con Cynthia Solís, socia del despacho especializado en Tecnologías de la Información y protección de datos Lex Inf, si bien es satisfactorio que los legisladores estén volteando a ver la situación real de la cibercriminalidad en México y su impacto, el aumento de penas sigue siendo pequeño, al menos en lo que respecta a las multas. Solís puso el ejemplo de Francia, en donde si bien las penas de prisión son similares, las multas pueden alcanzar los 60,000 euros (alrededor de 1 millón 275,000 pesos mexicanos).

“Si comparamos las multas que se modificaron en esta iniciativa con las ganancias de los cibercriminales al cometer estos delitos, sigue siendo negocio“, dijo Solís en entrevista.   

La abogada aseguró también que tanto el artículo 211 bis como los que le siguen y que abarcan la tipificación de los llamados ciberdelitos tienen más de 20 años de haber sido incluidos en el Código Penal Federal, por lo que requieren ser actualizados. “Lo ideal sería que el Senado aprovechara la oportunidad que presenta esta iniciativa de reforma para actualizar estos tipos penales, aunque en muchas ocasiones, dependiendo de la prioridad que se le asigne a la iniciativa, ésta corre el riesgo de quedar bloqueada en el Senado”, dijo.

“El artículo 211 bis habla de mecanismos de seguridad, pero en muchas ocasiones, tal vez por desconocimiento, las personas no le ponen contraseña a sus dispositivos, lo que no significa que no haya un acceso ilícito porque no lo están autorizando. Esto hace que no se cumplan todas las conductas que están descritas en el tipo penal y por tanto, no hay delito que perseguir. Así se han caído muchos casos”, añadió.  

Falta incluir delitos y capacitar al sistema de justicia penal

Cristos Velasco, director ejecutivo de evidenciadigital.lat, explicó que si bien es elogiable que México haga reformas al marco jurídico y procedimental en materia de ciberdelitos, las últimas iniciativas que se han generado intentan regular parcialmente ciertos delitos, como el hackeo, pese a que hay otras conductas que no se están tipificando y que hace falta incluir en el Código Penal Federal.

“Por toda esta evolución que ha habido con los cambios tecnológicos, las nuevas amenazas cada vez evolucionan más. Con una diversidad de conductas cometes una cantidad de delitos que muchas veces rebasan a la legislación. Está bien que se regulen pero también deben regularse otras conductas que los legisladores pasan por alto ”, dijo Velasco en entrevista.

La interceptación ilícita de información, la afectación a la integridad de la información o el daño a los sistemas y el abuso de dispositivos  son varios de los ejemplos que pone Velasco y que desde su perspectiva falta incluir en el Código Penal Federal, tomando como referencia el Convenio de Budapest en materia de seguridad informática.   

Velasco añadió que estas regulaciones deben ir acompañadas de una debida capacitación a los órganos del sistema de justicia penal, ya que si los jueces, ministerios públicos y la policía no tienen este conocimiento sobre cómo adaptar las conductas a las nuevas tendencias, será muy complicado que puedan encuadrar conductas de este tipo.

“Es importante tener una legislación, pero tiene que estar acompañada de la capacitación a los ministerios públicos y los jueces, es decir a los que van a aplicar esta legislación, por lo que esta regulación puede quedar inutilizable”, dijo Velasco.         

[email protected]