Adalid Medrano


Abogado especialista en Delitos Informáticos y Ciberseguridad

Browsing Tag:

Violación de Datos Personales

Cómo se lucha contra el fraude por mensaje de texto con la legislación costarricense.

Hoy vamos a hablar sobre los fraudes por mensaje de texto y cómo se pueden perseguir penalmente. 

¿Qué es el ‘Smishing’? (SMS+Phishing)

Es una acción de ingeniería social que se da por medio de mensaje de texto y busca, a través del engaño, obtener información confidencial que le permita al delincuente atacar un sistema informático.

Es muy utilizado por los delincuentes para engañar a clientes del Sistema Financiero Nacional para obtener datos confidenciales aptos para realizar transferencias bancarias ilegales.

¿Es delito en nuestro país?

 

Fuente: Noticias Monumental.

En nuestro país la ingeniería social no es un delito por sí mismo, pero sí puede encuadrar en diferentes conductas. Veámoslo con un ejemplo.

Ayer la Fiscalía de la República envió una alerta sobre un ataque de «Smishing» con el siguiente texto:

«SISTEMA BANCARIO NACIONAL: informa de bloqueo de cuentas bancarias, en las próximas horas, URGE se comunique al…»

Como puede verse, es el típico mensaje de fraude, donde a través de un exagerado llamado de urgencia, se busca convencer al usuario que si no toma una acción en concreto algo terrible pasará. En este caso, la consecuencia terrible es el cierre de sus cuentas bancarias.

Los delincuentes  utilizaron la red de telecomunicaciones para enviar el mensaje de texto de forma masiva y alguna operadora debe tener información relevante para el caso. Nos podríamos preguntar si es posible, en una etapa tan temprana, donde todavía no hay estafas informáticas denunciadas, investigar a las personas que enviaron el mensaje.

Tenemos que tomar en cuenta que las reformas al Código Penal № 9048 y №9135 dejaron al país con suficientes herramientas para perseguir los distintos tipos de delitos informáticos.  

En este caso, podríamos analizar dos caminos:

1. Envío masivo de comunicaciones (SPAM): en nuestro país es delito ofrecer, contratar o brindar servicios de envío masivo de comunicaciones no solicitadas (artículo 232 del Código Penal). Lo que quiere decir que en un caso como este, alguien debe haber brindado el servicio a través de una plataforma de mensajería de texto y como puede esperarse no cuenta con el consentimiento de los receptores de estas comunicaciones. 

2. Violación de datos personales: Si los delincuentes han comprado una base de datos para enviar posteriormente mensajes de texto, nos encontraríamos ante un delito de violación de datos personales (Artículo 196 bis del Código Penal). Lo anterior, porque la venta de datos personales, sin el consentimiento de los titulares es delito.

Es importante destacar que no nos encontramos ante un caso de suplantación de identidad, ya que simplemente se identifican como «Sistema Bancario Nacional», que como tal no es una persona jurídica, ni marca comercial. Sin embargo, al cliente llamar al número de teléfono sí podrían estarse haciendo pasar por una entidad bancaria en específica.

Proyecto de ley de Lucha contra la Ciberdelincuencia

En casos como este, la empresa de telecomunicaciones tiene mucha información que es de utilidad para la investigación, sin embargo, los tiempos de respuesta en nuestro país son largos y para combatir a la ciberdelincuencia se requiere una respuesta más expedita.

En el proyecto de ley 21187, se propone, entre otras cosas, reducir el tiempo de respuesta de las operadoras, para entregar información en su poder en una investigación penal, de meses como se está dando en algunos casos a 24/48 horas. 

También se busca incorporar la ingeniería social como delito, con el fin de darle más herramientas a las autoridades para poder luchar contra este flagelo, a pesar de que no exista un servicio de envío de comunicaciones masivas de por medio, suplantación de identidad o violación de datos personales.  

De momento, solo queda esperar que nuestros legisladores le den la importancia que tiene la lucha contra la ciberdelincuencia y el proyecto de ley vea la luz.

Artículo recomendado. 


¿Cómo evitar ser víctima de una Estafa Informática?

Sobre el autor

Abogado especialista en  delitos informáticos ciberseguridad,  con más de una década de estudio del fenómeno de la ciberdelincuencia,  co-redactor de las recientes reformas al Código Penal costarricense sobre delitos informáticos ( Leyes № 9048 y № 9035)

Leer biografía completa.

Asesoría legal

Si requiere asesoría sobre derecho informático puede contactarse  a través de los siguientes medios: 

(Tel): +506 88130930

Toda consulta tiene un costo.

Sobre la violación de datos personales contenidos en las planillas de sistemas de la CCSS

Los datos personales son cualquier dato relativo a una persona física identificada o identificable <fn>Artículo  3, ley Nº8968 de protección de la persona frente al tratamiento de sus datos personales</fn>  y cada vez tienen mayor demanda en el mercado negro, lo que es estimulado debido a las bajas medidas de seguridad que resguardan muchos sistemas informáticos.

Por lo anterior, y ante la agresiva  violación de datos personales a nivel global, es que en nuestro país en el año 2011 se promulgó la ley de protección de datos personales<fn>Ley de protección de la persona frente al tratamiento de sus datos personales, Nº 8968 </fn>, y en el 2012, en la reforma al código penal Nº 9048<fn> Y la reforma posterior Nº9135, sobre delitos informáticos</fn>  se incluye en el numeral 196 bis, el tipo penal «Violación de datos personales» con el cual por primera vez se protegen los datos personales en nuestro código penal

Datos personalesViolación de datos personales en la CCSS

El día de hoy la CCSS denuncia que dos empleados de una entidad bancaria vulneraron las medidas de seguridad informática que protegían los datos personales de cientos de miles de costarricenses mediante el uso de bots informáticos que tenían la tarea de realizar la violación de datos personales. 

«Aunque los hechos se empezaron a detectar en marzo, la Caja Costarricense de Seguro Social (CCSS) presentó la denuncia ante el Ministerio Público, el 14 de agosto y ante la Agencia de Protección de Datos, el 21 de agosto. Esta información trascendió la noche de este lunes, mediante un comunicado de prensa de la Caja, que no amplió en detalles.Aparentemente, los involucrados en este delito utilizaron un robot  software para violentar las barreras de seguridad informática, agrega el boletín.» vía ‘Hackers’ violan datos de planillas en sistema de CCSS.

Los empleados de la entidad bancaria se exponen a penas de prisión de 1  a tres años, por el delito de violación de datos personales, debido a que en beneficio de un tercero, con daño para la intimidad y sin la autorización del titular de los datos, recopilaron datos personales de ciudadanos costarricenses, almacenados en un sistema informático.<fn>Artículo 196 bis.Será sancionado con pena de prisión de uno a tres años quien en beneficio propio o de un tercero, con peligro o daño para la intimidad o privacidad y sin la autorización del titular de los datos, se apodere, modifique, interfiera, acceda, copie, transmita, publique, difunda, recopile, inutilice, intercepte, retenga, venda, compre, desvíe para un fin distinto para el que fueron recolectados o dé un tratamiento no autorizado a las imágenes o datos de una persona física o jurídica almacenados en sistemas o redes informáticas o telemáticas, o en contenedores electrónicos, ópticos o magnéticos……..</fn>.

Por otro lado, la entidad bancaria por la violación de datos personales administrativa, al recolectar dichos datos sin el consentimiento informado y expreso del titular de los datos, lo que constituye una falta grave -de acuerdo a la ley de protección de datos personales- se expone a una una multa de cinco a veinte salarios base del cargo de auxiliar judicial I,<fn>Artículo 28, inciso b, de Ley de protección de la persona frente al tratamiento de sus datos personales, Nº 8968</fn>.

seguridad informáticaLlamada de atención.

Esta vulneración de las medidas de seguridad informática de la CCSS es una llamada de atención a todas las instituciones estatales del país que deben resguardar los datos personales de los costarricenses, porque es claro que existen delincuentes y hasta empresas interesadas en nuestros datos personales.

Con el fin de hacer conciencia sobre este tema, desde la Comisión de Derecho Informático estamos realizando un evento sobre delitos informáticos el día de mañana, Conferencias: “Los Delitos Informáticos y el Convenio de Europa sobre Ciberdelincuencia: Un enfoque técnico y jurídico”. Cordialmente invitados.