Proyecto de Decreto para Reformar el Código Penal Federal en Materia de Delitos Informáticos en México Aprobado por la Cámara de Diputados

El pasado 28 de Marzo del año en curso, la Cámara de Diputados aprobó con 271 votos a favor, 9 en contra y 4 abstenciones, un Proyecto de Decreto que reforma y adiciona diversas disposiciones al Código Penal Federal en materia de delitos en contra de medios o sistemas informáticos o cometidos mediante el uso o empleo de éstos

A continuación, me permito hacer algunos comentarios y exponer algunos puntos de vista del contenido de dicho Proyecto de Decreto aprobado por la Cámara de Diputados la semana pasada.

«Art. 205 Bis. …

k) Quien se valga del uso o empleo de medios informáticos para generar relación de confianza o amistad con la víctima.»

Al interpretar esta disposición del Código Penal Federal (CPF), se desprende que la carga de la prueba será para la persona imputada de haber cometido el delito de trata de personas. Para poder hacer efectiva la sanción contenida en este artículo, deberá reconocerse como prueba el uso y aceptación de medios informáticos o electrónicos en el Código Federal de Procedimientos Penales (CFPP), de lo contrario la reforma de este artículo podría verse seriamente limitada por la falta de una disposición expresa en la legislación procedimental penal federal que reconozca el uso y admisión de medios informáticos o electrónicos como medios de prueba en materia penal.

 

«Artículo 211 Bis. A quien revele, divulgue o utilice indebidamente o en perjuicio de otro, información o imágenes obtenidas en una intervención de comunicación privada, se le aplicarán sanciones de seis a doce años de prisión y de trescientos a seiscientos días multa.

Se impondrán las mismas penas que refiere el párrafo anterior a quien revele, divulgue o utilice indebidamente o en perjuicio de otro, información, conversaciones o mensajes de texto, imágenes o archivos de voz, contenidos en sistemas o equipos informáticos, obtenidos a través de mecanismos distintos a la intervención de comunicación privada, mediante el empleo de aparatos o dispositivos electrónicos fijos o móviles o a través de la suplantación de identidad.»

La reforma a este artículo pretende penalizar y castigar la divulgación y el mal uso de información obtenida a través de mecanismos distintos a la intervención judicial de comunicaciones privadas, es decir, sancionaría a cualquier persona que intervenga conversaciones, mensajes y archivos contenidos en sistemas y equipos informáticos y a través del uso de dispositivos fijos o móviles e inclusive a través de la suplantación de identidad.

Toda vez que el CPF no tipifica aún la figura de la suplantación de identidad, valdría la pena incluir una reforma que sancione y castigue expresamente la suplantación de identidad a nivel federal, independientemente del medio utilizado para llevar a cabo dicha usurpación.  El Art. 211 Bis del Código Penal para el Distrito Federal podría servir como base para la redacción de esta disposición, por medio de cual se buscaría sancionar y castigar el robo de identidad, uno de los delitos más comunes y con mayores índices de incidencia en Norteamérica.

 

«Artículo 211 Bis 1. Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa.

Se aplicará una pena de tres meses a un año de prisión y de cincuenta a ciento cincuenta días multa al que sin autorización acceda, modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática que no estén protegidos por algún mecanismo de seguridad o también sin autorización acceda a dichos sistemas o equipos de informática o mediante cualquier mecanismo que de manera próxima o remota les cause un daño.

En los casos en que el daño provocado por el acceso o la modificación no autorizados obstaculice o disminuya la capacidad de funcionamiento del sistema o equipo informático las penas previstas en los párrafos anteriores se incrementarán hasta en dos terceras partes.

Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa.

La pena aplicable será de tres meses a un año de prisión y de cincuenta a ciento cincuenta días multa al que sin autorización conozca o copie información contenida en sistemas o equipos de informática no protegidos por algún mecanismo de seguridad.»

Estamos de acuerdo en que se tipifique como delito el acceso ilícito y la destrucción o modificación de sistemas de cómputo y equipo de informática protegidos por algún mecanismo de seguridad, tal y como lo prevén los artículos 2º , 3º  y 4º del Convenio sobre Cibercriminalidad del Consejo de Europa mejor conocido como el «Convenio de Budapest». Sin embargo, consideramos que las penas de prisión y multas son relativamente bajas considerando que se pueden acceder y comprometer sistemas de cómputo y de informática que pueden tener una gran valor comercial, sobre todo para las pequeñas y medianas empresas en México que son la gran mayoría.

Igualmente, consideramos que la penas de prisión y multa establecidas en el penúltimo y último párrafo de la propuesta de reforma son muy bajas, quizá deberían de incrementarse por lo menos al triple con el propósito de disuadir su comisión.

 

«Artículo 211 Bis 2. Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad, se le impondrán de uno a cuatro años de prisión y de doscientos a seiscientos días multa.

Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática del Estado, protegidos por algún mecanismo de seguridad o también sin autorización acceda a dichos sistemas o equipos informáticos o mediante cualquier mecanismo que de manera próxima o remota les cause un daño, se le impondrán de seis meses a dos años de prisión y de cien a trescientos días multa.

A quien sin autorización, conozca, obtenga, copie o utilice información contenida en cualquier sistema, equipo o medio de almacenamiento informáticos de seguridad pública, protegido por algún medio de seguridad o también sin autorización acceda a dichos equipos o medios o mediante cualquier mecanismo les cause un daño, se le impondrá pena de cuatro a diez años de prisión y multa de quinientos a mil días de salario mínimo general vigente en el Distrito Federal. Si el responsable es o hubiera sido servidor público en una institución de seguridad pública, se impondrá además, destitución e inhabilitación de cuatro a diez años para desempeñarse en otro empleo, puesto, cargo o comisión pública.

En los casos en que el daño provocado por el acceso o la modificación no autorizados o por cualquier mecanismo empleado obstaculice o disminuya la capacidad de funcionamiento del sistema o equipo informático las penas previstas en los párrafos anteriores se incrementarán hasta en dos terceras partes.»

En general, estamos de acuerdo con el contenido y alcance de este artículo, pero de nuevo, insistimos en que las penas y sanciones establecidas siguen siendo relativamente bajas, más aún cuando se trata de modificación, destrucción o perdida de información contenida en sistemas de cómputo propiedad de entidades y órganos gubernamentales a nivel federal. Valdría la pena conocer la postura del órgano regulador de las telecomunicaciones (COFETEL), así como la del órgano regulador nacional en materia de acceso a la información y protección de datos (IFAI) respecto al monto de las multas y sanciones establecidas en esa disposición pues serán algunos de los órganos gubernamentales federales que administran y manejan sistemas y bases de datos con información confidencial y reservada.

 

«Artículo 211 Bis 4. Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa.

Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa.

Las penas establecidas en los párrafos anteriores se incrementarán hasta en dos terceras partes y se impondrán sin perjuicio de las que resulten aplicables por la comisión de otros delitos al que realice, para beneficio propio o de cualquier tercero, las conductas que describen los párrafos anteriores con la finalidad de realizar o encubrir las operaciones con recursos de procedencia ilícita a que se refiere el párrafo primero del artículo 400 Bis de este ordenamiento.»

Estamos de acuerdo con el contenido y alcance del último párrafo del Artículo 211 Bis 4.

 

«Artículo 211 Bis 5. Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente modifique, destruya o provoque pérdida de información que contengan, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa.

Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente copie información que contengan, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa.

Las penas previstas en este artículo se incrementarán en una mitad cuando las conductas sean cometidas por funcionarios o empleados de las instituciones que integran el sistema financiero.

Las penas establecidas en los párrafos primero y segundo de este artículo se incrementarán hasta en dos terceras partes y se impondrán sin perjuicio de las que resulten aplicables por la comisión de otros delitos al que realice, para beneficio propio o de cualquier tercero; las conductas que describen los párrafos anteriores con la finalidad de realizar o encubrir las operaciones con recursos de procedencia ilícita a que se refiere el párrafo segundo del artículo 400 Bis de este ordenamiento.»

Estamos de acuerdo con el contenido y alcance del último párrafo de este articulo pues lo que se pretende es tipificar el delito de blanqueo de capitales y disuadir operaciones financieras ilícitas a nivel nacional, cuando son cometidas en beneficio de alguna persona o de un tercero. Vale la pena señalar que uno de los delitos que más ha sacado provecho de Internet es el blanqueo de capitales, mejor conocido como «lavado de dinero», por medio del cual los criminales realizan transferencias inmediatas de dinero, fondos y capitales, a través de distintos cuentas bancarias ubicadas en paraísos fiscales, aprovechándose de distintos factores, tales como la dificultad de rastrear el origen y destino de las transacciones; la utilización de identificaciones y datos falsos para ocultar el destino de los fondos; y el anonimato del que gozan, sobre todo en países donde se privilegia el secreto bancario.

Es importante destacar que el Consejo de Europa actualmente esta instando a los países que forman parte del Convenio de Budapest a que reformen sus marcos jurídicos penales sustantivos para poder tipificar el delito de blanqueo de capitales cometido a través del uso de sistemas de cómputo e Internet por lo que la reforma a este artículo vendría a darse en muy buen momento.

 

«Artículo 211 Bis 7. Las penas previstas en este capítulo se aumentarán hasta en una mitad cuando la información obtenida se utilice en provecho propio o ajeno, salvo en los casos que se disponga otra pena

Estamos de acuerdo con el contenido y alcance del último párrafo de este Artículo.

 

«Artículo 282. Se aplicará sanción de tres días a un año de prisión o de 180 a 360 días multa:

I. Al que de cualquier modo amenace a otro con causarle un mal en su persona, en sus bienes, en su honor o en sus derechos, o en la persona, honor, bienes o derechos de alguien con quien esté ligado con algún vínculo;

II. Al que por medio de amenazas de cualquier género trate de impedir que otro ejecute lo que tiene derecho a hacer;

III. Al que amenace a otro con causarle un mal en su persona, en sus bienes, en su honor o en sus derechos, o en la persona, honor, bienes o derechos de alguien con quien esté ligado con algún vínculo, haciendo uso o empleo de comunicados o mensajes enviados a través de medios o sistemas informáticos o le amenace con divulgar la información, datos o imágenes obtenidos a través del acceso ilícito a dichos medios o sistemas informáticos en los términos que refiere el artículo 211 Bis 1.

Si el ofendido fuere alguno de los parientes o personas a que se refieren los artículos 343 Bis y 343 Ter, en este último caso siempre y cuando habiten en el mismo domicilio, se aumentará la pena que corresponda hasta en una tercera parte en su mínimo y en su máximo.

Si el ofendido por la amenaza fuere víctima u ofendido o testigo en un procedimiento penal, la pena será de cuatro a ocho años de prisión y de cien a trescientos días multa.

Los delitos previstos en este artículo se perseguirán por querella, con excepción del establecido en el párrafo anterior que se perseguirá de oficio.»

El delito que se pretende tipificar son las amenazas cometidas a través del uso de medios o sistemas de comunicación e informática. Vale la pena señalar, que el delito tradicional de amenazas, es bastante difícil de probar en la querella penal. Ahora bien, tratándose de delitos de amenazas en donde se utilicen como medio sistemas informáticos, comunicados y correos electrónicos, consideramos que será todavía más difícil comprobarlos en un juzgado penal sobre todo tomando en cuenta que el CFPP no reconoce el uso y admisión de medios informáticos o electrónicos como medios de prueba en materia penal.  Al igual que mi comentario al Art. 205 Bis, considero que para poder hacer efectiva la sanción contenida en la propuesta del Art. 211 Bis del CPF, deberá proponerse una reforma al CFPP, de lo contrario, la reforma a este artículo podría verse seriamente limitada por la falta de una disposición expresa que reconozca el uso y admisión de medios informáticos o electrónicos como medios de prueba en la legislación procesal federal.

 

«Artículo 389 Ter. Se equipara al delito de fraude y se sancionará con pena de seis meses a tres años de prisión y de cien a cuatrocientos días multa, sin perjuicio de las penas que correspondan por la comisión de otros delitos, al que valiéndose del error en que se encuentra la víctima provoque que revele o ponga a su disposición información o datos de carácter personal, patrimonial o financiero a los que no tenga derecho a acceder, utilizando para tales fines sitios o direcciones de correo u otros medios electrónicos creados por él mismo o por un tercero y que por sus características, emblemas, marcas o cualquier distintivo gráfico o de leyendas de texto simulen o reproduzcan de manera apócrifa e ilegitima a las que pertenecen a los prestadores de servicios financieros o de cualquier otro tipo de carácter público o privado que brinde atención o establezca contacto con sus clientes, usuarios o público en general por dichos medios.

Además de las penas que correspondan conforme al presente artículo, se impondrán las penas que establece el artículo 386 de este Código, al que mediante el uso o empleo de la información o datos obtenidos por los medios descritos en el párrafo anterior, obtenga algún beneficio, cosa o lucro indebido, según sea el valor o monto de lo obtenido.»

El texto propuesto pretende penalizar el delito conocido como «phishing». En general estamos de acuerdo con la adición de esta disposición y con la redacción del texto propuesto. Sin embargo, habría que vincularlo de alguna forma con lo dispuesto en los artículos 112 Bis y 113 Bis de la Ley de Instituciones de Crédito, disposiciones que prohíben y sancionan la obtención y el uso de información de clientes o transacciones del sistema financiero, sin tener la correspondiente autorización con penas que van de los 3 a 10 años y con multas de 30,000 hasta 300,000 días de salario mínimo vigente.

 

«Artículo 390. Al que sin derecho obligue a otro a dar, hacer, dejar de hacer o tolerar algo, obteniendo un lucro para sí o para otro o causando a alguien un perjuicio patrimonial, se le aplicarán de dos a ocho años de prisión y de cuarenta a ciento sesenta días multa.

Las penas que refiere el párrafo anterior se aumentaran hasta en una mitad al que para lograr los fines que refiere el párrafo anterior haga empleo o uso de comunicados o mensajes que envíe a la víctima a través de medios o sistemas informáticos o se valga de la información, datos o imágenes obtenidos a través del acceso ilícito a dichos medios o sistemas informáticos en los términos que refiere el artículo 211 Bis 1.

Las penas se aumentarán hasta un tanto más si el constreñimiento se realiza por una asociación delictuoso, o por servidor público o ex-servidor público, o por miembro o ex-miembro de alguna corporación policial o de las Fuerzas Armadas Mexicanas. En este caso, se impondrá además al servidor o ex-servidor público y al miembro o ex-miembro de alguna corporación policial, la destitución del empleo, cargo o comisión y la inhabilitación de uno a cinco años para desempeñar cargo o comisión público, y si se tratare de un miembro de las Fuerzas Armadas Mexicanas en situación de retiro, de reserva o en activo, la baja definitiva de la Fuerza Armada a que pertenezca y se le inhabilitará de uno a cinco años para desempeñar cargos o comisión públicos.»

Al igual que mis comentarios a los Art. 205 Bis y 211 Bis del CPF, considero que para poder hacer realmente efectiva la sanción contenida en la propuesta de reforma de este artículo, deberá proponerse una reforma al CFPP, de lo contrario, la reforma a este artículo podría verse seriamente limitada por la falta de una disposición expresa que reconozca el uso y admisión de medios informáticos o electrónicos como medios de prueba en la legislación procesal federal.

 

«Artículo 211 Bis 5. Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente modifique, destruya o provoque pérdida de información que contengan, se le impondrán de seis meses a cuatro años de prisión y de cien a seiscientos días multa.

Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente copie información que contengan, se le impondrán de tres meses a dos años de prisión y de cincuenta a trescientos días multa.

Las penas previstas en este artículo se incrementarán al doble cuando las conductas sean cometidas por funcionarios o empleados de las instituciones que integran el sistema financiero.»

Estamos de acuerdo con la propuesta de incrementar las penas en el párrafo propuesto. Ver mis comentarios al Artículo 211 Bis 5.

 

Comentarios y Reflexiones Finales

Considero que la reforma aprobada por la Cámara de Diputados, aún y cuando actualiza los supuestos de algunos de los delitos previstos en el CPF como son el fraude, la extorsión,  el acceso ilícito, la divulgación y el mal uso de información obtenida a través de sistemas de cómputo, esa iniciativa no incluye en forma total el catálogo de delitos previstos en la Sección 1 del Capítulo II del «Convenio de Budapest». Por ejemplo, se dejó completamente fuera tipificar como delitos «actos o medios preparatorios» que prevé el Convenio de Budapest en su Artículo 6º y que el Código Penal de Alemania (Strafgezetzbuch) tipifica y sanciona en forma muy específica en su parágrafo 202c.

Otra cuestión que se dejó completamente fuera de la reforma fue tipificar como delito la interrupción, destrucción o daño a medios e infraestructura pública, tales como redes de telecomunicaciones, redes de energía eléctrica e hidráulica, redes de transporte público, etc. Consideramos primordial incluir una reforma en el CPF para tipificar ese delito y sancionar con penas graves de prisión y multas considerables a los individuos que ataquen la infraestructura crítica propiedad del Estado, a través de la utilización de equipos y sistemas de cómputo e informática.

Otro aspecto muy importante que los legisladores dejaron fuera y que es un error que comúnmente cometen legisladores de otros países -como fue el caso de Argentina- es que se les olvidó incluir una reforma al marco procedimental penal, en particular me refiero al reconocimiento y admisión de pruebas y evidencias contenidas en formato electrónico o digital dentro del CFPP.  Sin esta reforma, será casi imposible que los Ministerios Públicos, Jueces y Magistrados puedan darle seguimiento a investigaciones y denuncias sobre delitos cometidos en contra o a través de sistemas de cómputo e Internet. Considero de gran importancia, que paralelamente se haga una reforma al marco procedimental penal para que las disposiciones sustantivas aprobadas por la Cámara de Diputados puedan ejecutarse debidamente por los Ministerios Públicos, Jueces y Magistrados y en general por los órganos jurisdiccionales en materia penal, tal y como lo prevé la Sección 2, Título 1 (Arts. 14 y 15) relacionado con Medidas sobre Derecho Procesal del «Convenio de Budapest».

Estos son solo algunos de los aspectos que la reforma aprobada por la Cámara de Diputados no tomó en cuenta en su Proyecto de Decreto y que consideramos deberá darse la debida atención y seguimiento por parte de la Cámara de Senadores antes de ser aprobado para que la parte penal sustantiva relacionada con ciberdelitos pueda ser ejecutada correctamente por los órganos jurisdiccionales en materia penal a nivel nacional.

Por último, insistimos en la necesidad de aprobar paralelamente una reforma al marco procesal penal con el objeto reconocer el uso y admisión de medios informáticos o electrónicos como medios de prueba y evidencia dentro del Código Federal de Procedimientos Penales.

Atentamente,

Dr. Cristos Velasco

Fundador y Director

Protección Datos México (ProtDataMx)