La Corte Suprema de Justicia aclaró elementos normativos del acceso abusivo a un sistema informático

Share on facebook
Share on google
Share on twitter
Share on linkedin
Descargar PDF

Xenia Carolina Madariaga Pérez[1]

La sentencia SP 592 de 2022 marca un hito en la jurisprudencia colombiana porque la Corte Suprema de Justicia analiza y enlista los elementos constitutivos para el delito de acceso abusivo a un sistema informático, en el ordenamiento jurídico colombiano. Este escrito presenta una breve reseña de sus consideraciones y toma postura crítica frente a las pautas que ella sienta para la aplicación de este tipo penal.

Sumario:

I. Introducción; II. Consideraciones de la Corte; III Toma de postura; IV. Conclusión; V. Bibliografía.

I. Introducción

En la década de los setenta, un estadounidense llamado John Draper, más conocido como Captain Crunch, se hizo famoso porque realizó una gira por todo el país y utilizó los teléfonos públicos de forma gratuita, lo que en 1972 llevó a su arresto por fraude a las compañías telefónicas. Este fue el primer caso icónico respecto a lo que se conoce hoy día como la ciberdelincuencia[2].  Al poco tiempo, hacia 1980, Ian Murphy intervino los sistemas de la compañía telefónica AT&T para modificar la hora del reloj que medía los tramos de facturación. De esa forma, los clientes que llamaron al mediodía se beneficiaron de tarifas reducidas, en comparación con los que esperaron a la medianoche para usar los servicios telefónicos.

Estas conductas pueden considerarse como los primeros ciberdelitos[3]. Por otro lado, se define a la ciberdelincuencia como «aquella actividad que por medio de la red (sea pública o privada) o a través de un sistema informático “tenga como objetivo atentar a la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, de las redes y los datos, así como el uso fraudulento de tales sistemas, redes y datos”».[4]

En Colombia, la Ley 1273 de 2009 creó nuevos tipos penales y, con ella, el delito de acceso abusivo a un sistema informático. Esta norma tiene como fin la protección de la información y de los datos personales, con penas de prisión de hasta 120 meses y multas de hasta 1.500 salarios mínimos legales mensuales vigentes[5].

La sentencia que analizaremos marcó un punto importante en la jurisprudencia colombiana debido a que la Corte Suprema de Justicia se ocupó de la explicación de diversos términos propios del delito de acceso abusivo a un sistema informático, así como del desarrollo de la figura de la «autorización» cuando el indiciado tiene acceso a una base de datos en razón a su cargo o empleo. También expuso los elementos normativos que se deben cumplir para la configuración de este tipo penal. En lo que sigue, reseñamos las consideraciones de la Corte, tomamos postura frente a ellas y, al final, ofrecemos una reflexión sobre el estado actual y retos inmediatos en la aplicación de esta figura típica.

II. Consideraciones de la Corte

“El 2 de marzo de 2022 la Corte Suprema de Justicia decidió sobre la demanda de casación y doble conformidad formulada contra la sentencia proferida por la Sala Penal del Tribunal Superior de Medellín, que confirmó la condena por el delito de concierto para delinquir y revocó las absoluciones que se habían proferido en primera instancia por los delitos de acceso abusivo a sistema informático.”

Debido a que C.M fungía como empleado de una entidad financiera, este tenía la posibilidad de acceder a las cuentas bancarias de los clientes[6] y decidió permanecer en ellas con el fin de cometer los ilícitos que tenía pactados con la banda delincuencial con la cual operaba.

Adicionalmente, la Corte Suprema de Justicia resaltó[7], en esta sentencia, que, para la doctrina, el acceso abusivo a un sistema informático también se configura mediante un «mero intrusismo informático»[8], es decir, “cobija a aquellas conductas de meros accesos o permanencias perpetradas cuyo único fin es el de vulnerar una base de datos, una contraseña o una configuración lógica”, que permita acceder a algún tipo de redes de comunicación electrónica.

Así las cosas, la Corte señaló que los elementos para la configuración del delito son los siguientes:

i) Sujeto activo no calificado, por no necesitar de una condición especial para quien accede a un sistema informático “sin autorización”, o que, teniéndola, decide conscientemente mantenerse conectado; ii) Sujeto pasivo, persona natural o jurídica titular del sistema informático, iii) Lesionar varios bienes jurídicos tutelados, entre ellos, la información, los datos y la intimidad. En ese sentido, ha sido reconocido como un tipo penal pluriofensivo, iv) Solo admite el dolo en el actuar del ciberdelincuente; v) Es un delito de mera conducta, por cuanto, la sola intromisión en una red informática, en las condiciones establecidas en el tipo penal, afecta el bien jurídico tutelado; vi) Contempla dos verbos rectores, acceder o mantener; vii) Como ingrediente normativo, exige que el sujeto activo de la acción a) acceda en el sistema informático sin autorización, o, b) aun cuando, teniendo el permiso del titular legítimo del derecho, se mantiene dentro del mismo, excediendo las facultades otorgadas.[9]

Finalmente, respecto al término insider, la Corte se refirió a[10] que este se utiliza cuando la persona que comete el ilícito, aun teniendo permiso, se excede o se aparta de él. En cambio, el término outsider es usado para determinar a aquellas personas que, no siendo autorizadas, penetran a determinada plataforma o base de datos de información.

III. Toma de postura

En Colombia, antes de la Sentencia SP 592 de 2022, no existía un pronunciamiento por parte de la Sala de Casación Penal sobre los elementos normativos del acceso abusivo a un sistema informático; sin embargo, esta sentencia se destaca porque aquí la Corte le dio una relevancia a la pertinencia de los elementos materiales probatorios que se aportan dentro del proceso. Lo anterior, por ejemplo, dado el grado de sofisticación que utilizan estos delincuentes para consumar los desfalcos en las cuentas bancarias de los usuarios financieros[11]. Así, podemos considerar que el delito de acceso abusivo a un sistema informático no es tan común como se pensaría que es, debido a la necesidad del manejo de la información y a las tecnologías que se requieren para la ejecución del ilícito.

Actualmente, las cifras de la Fiscalía General de la Nación son cada día más alarmantes, toda vez que el delito de acceso abusivo a un sistema informático es el tercer delito, respecto a los delitos informáticos, en el que más incurren los delincuentes. En ese sentido cabe resaltar que, desde el año 2019, las denuncias por el delito de acceso abusivo a un sistema informático corresponden al 0,59 % del total de denuncias presentadas.

Ahora, desde el año 2019, antes de la pandemia, se presentaron 8.204 denuncias por este delito, lo que muestra un aumento del 41,7 % en 2020 y del 55,7 % en 2021. Así mismo, comparando enero y abril[12] de 2021 y 2022, el incremento en presentación de denuncias, en relación con este delito, es del 47,6 %.

Por otro lado, dogmáticamente[13] delito ha sido considerado de mera conducta, es decir, no requiere un resultado per se, debido a que su verbo rector es acceder, el cual se refiere a introducirse, internarse o inmiscuirse en algún sistema de datos informáticos con o sin autorización del propietario. Sin embargo, sí requiere un diálogo de sentido lógico entre quien perpetra la acción y el sistema al cual se accede, para comprobar de hecho la existencia de una relación o interacción racional[14].

En nuestro ordenamiento jurídico, es notable que el legislador empleó una” técnica legislativa muy discutible al consagrar los delitos de intrusión informática” en un solo tipo penal, puesto que la norma se aparta de algunos aspectos sugeridos por la doctrina[15]. Por ejemplo, en la redacción del delito de acceso abusivo a un sistema informático, la figura de la autopuesta en peligro[16]  se debe evaluar antes de realizar el estudio de la imputación objetiva, toda vez que parece que el principio de autorresponsabilidad del titular del sistema no se debe tener en cuenta. Ello, dado que, en este caso, el poseedor de la información asume voluntaria y libremente hacer frente al peligro cuando entrega información a un tercero, asumiendo sus consecuencias.[17]

No obstante, respecto a la protección del bien jurídico y a la calificación del tipo penal, la Corte Suprema de Justicia acertó cuando recalcó que este delito es pluriofensivo, es decir, “lesiona simultáneamente varios intereses que el legislador concibe como dignos de tutela jurídica”, como, por ejemplo, los datos personales, el patrimonio económico, la seguridad de la información y el peligro indirecto de la información almacenada en ellos.[18]

A pesar de esto, la Corte Suprema de Justicia pudo ser más contundente respecto a la pronunciación sobre este delito, pues, en distintas oportunidades, las demandas de casación que llegan a la Sala Penal no han sido discutidas de forma amplia porque la Corte consideró en su momento que no tenía los elementos jurisprudenciales y dogmáticos suficientes para tomar una decisión de fondo.

En tales circunstancias, es paradójico pensar que probablemente se deba esperar otra cantidad de tiempo para que la Corte Suprema de Justicia pueda realizar un análisis aún más exhaustivo de ese delito, cuando tuvo la oportunidad de hacerlo ahora y, sobre todo, teniendo en cuenta que la comisión de los delitos informáticos está en auge por la necesidad de la virtualidad desde la pandemia por COVID-19.

IV. Conclusión

En esta sentencia se realizó por primera vez un análisis de los elementos normativos que deben ser cumplidos para la configuración del delito de acceso abusivo a un sistema informático, a efectos de crear una jurisprudencia que pueda ser aplicada por los jueces de forma directa. Además, invita a todas las instancias judiciales a identificar la postura propuesta por la Corte sobre los hechos del caso y la correcta aplicación de los presupuestos normativos, para que este delito, que se encuentra en un crecimiento exponencial, no sea tomado a la ligera.

Pero no es menos cierto decir que es necesario incluir un margen de análisis para estos temas respecto al grado de intensidad de la evaluación jurisprudencial, lo anterior con el fin de que la Corte Suprema de Justicia pueda brindar una seguridad jurídica efectiva sobre estos delitos tan novedosos, y que no deje espacio para interpretaciones amplias.

Adicionalmente, la lectura de la sentencia SP 599 de 2022 nos hace reflexionar sobre la necesidad de crear un derecho penal supranacional respecto de delitos informáticos.  Toda vez que, así tal cual como sucede con los derechos humanos y el derecho internacional humanitario,  los delitos se ejecutan de una forma muy técnica, entonces su jurisdicción debe ser igual de desarrollada. Lo anterior se debe al carácter de transaccionalidad que poseen estos delitos,  o a que el titular de la información no encuentra, en muchos casos, una respuesta jurisdiccional efectiva que revindique en su totalidad los derechos y bienes afectados.

De igual forma, es claro que los tipos penales con contenido informático deben ser redactados de común acuerdo con los expertos en ingeniería, pues es evidente que existe un enorme abismo entre la noción objetiva de los delitos y las exigencias técnicas que suponen para la comisión de los ataques informáticos. Así las cosas, con un lenguaje más fluido entre estos dos aspectos, se facilitaría la interpretación y aplicación de la normativa para el delito de acceso abusivo a un sistema informático.

Para concluir, es necesario que el derecho penal se apoye en los nuevos avances tecnológicos y de información, para que se mantenga a la vanguardia de la aparición de nuevas formas de conductas delictivas en el internet, y que, finalmente, estas sean evaluadas de forma intensiva e integral por los órganos judiciales respectivos.

V. Bibliografía 

COLOMBIA. CONGRESO DE COLOMBIA. Ley 1273 del 2009. «De la Protección de la información y de los datos». (5, enero, 2009).

COLOMBIA. CORTE SUPREMA DE JUSTICIA. SALA DE CASACIÓN PENAL. Sentencia SP 592 de 2022 Bogotá. 2022. M.P Diego Eugenio Corredor Beltrán. Corte Suprema de Justicia. Sala de Casación Penal , 2022.

ESPARIS FIGUEIRA, Manuel. Ciberdelincuencia: Los 4 delitos informáticos más comunes – Sistemius. Sistemius [página web]. Disponible en: <https://www.sistemius.com/ciberdelincuencia-4-tipos-de-delitos-informaticos/>.

FISCALÍA GENERAL DE LA NACIÓN. Delitos [sitio web]. Bogotá. [Consultado el 29 de mayo de 2022]. Disponible en: <https://www.fiscalia.gov.co/colombia/gestion/estadisticas/delitos/>.

MATELLANES RODRÍGUEZ, Nuria. Algunas notas sobre las formas de delincuencia informática en el Código Penal. En: M. D. Diego Díaz-Santos, y V. Sánchez López, Hacia un derecho penal sin fronteras, (pp. 129-147). Madrid: Colex.

OBSERVATORY OF COMPUTER CRIME AND GDO, Guatemala. Historia del Cibercrimen. O.G.D. [página web]. [Consultado el 11 de mayo de 2022]. Disponible en: https://ogdi.org/historia-del-cibercrimen.

OJEDA PEREZ, Jorge Eliécer. Delitos informáticos y entorno jurídico vigente en Colombia. [Consultado el 29 de mayo de 2022]. Disponible en: http://www.scielo.org.co/scielo.php?script=sci_arttext&amp;pid=S0123-14722010000200003.

PALAZZI, Pablo. Los delitos informáticos en el Código Penal. Buenos Aires: Ed. FEDEY, 2016.

PALOMA PARRA, Luis Orlando. Delitos informáticos en el Ciberespacio. Bogotá: Ed. Jurídicas Andrés Morales. 2018.

SAIN, Gustavo Raúl. Evolución histórica de los delitos informáticos en Colombia.  En: Revista de Pensamiento Penal [en línea]. 2020. vol. 2 [consultado el 7 de mayo de 2022], p. 4. Disponible en: https://www.pensamientopenal.com.ar/system/files/2015/04/doctrina40877.pdf.

VELÁSQUEZ VELÁSQUEZ, Fernando. (2009). Derecho penal, Parte general 4.ª ed. Medellín: Comlibros.

[1] Estudiante de Jurisprudencia de la Universidad del Rosario de Colombia. Durante su formación académica se ha interesado en áreas del derecho comercial, penal corporativo, derecho financiero y justicia transicional. Ha participado en semilleros de investigación de ciberseguridad y cibercrimen, adicionalmente, está realizando su proyecto de grado en la creación de un manual para los miembros de la fuerza pública que quieran acceder a la Jurisdicción Especial para la Paz. Actualmente es asistente legal en el Laboratorio de Informática Forense —IFD Evidence— en asociación con MPa Derecho Punitivo & Riesgos Corporativos.

[2] OBSERVATORY OF COMPUTER CRIME AND GDO, Guatemala. Historia del Cibercrimen. O.G.D.I [sitio web]. [Consultado el 11, mayo, 2022]. Disponible en: https://ogdi.org/historia-del-cibercrimen.

[3] SAIN, Gustavo Raúl. Evolución histórica de los delitos informáticos en Colombia. En: Revista de Pensamiento Penal [en línea]. 2020. vol. 2 [consultado el 7 de mayo de 2022], p. 4. Disponible en: https://www.pensamientopenal.com.ar/system/files/2015/04/doctrina40877.pdf.

[4] ESPARIS FIGUEIRA, Manuel. Ciberdelincuencia: Los 4 delitos informáticos más comunes – Sistemius. Sistemius [sitio web]. [Consultado el 11 de mayo de 2022]. Disponible en: https://www.sistemius.com/ciberdelincuencia-4-tipos-de-delitos-informaticos/.

[5] COLOMBIA. CONGRESO DE COLOMBIA. Adiciónese el Código Penal con un Título VII BIS denominado «De la Protección de la información y de los datos». (5, enero, 2009). Ley 1273 del 2009. Diario oficial.

[6] CORTE SUPREMA DE JUSTICIA. Sentencia SP 592 de 2022 [en línea]. Radicación 50621. Bogotá: [s.n.], 2022 [consultado el 30, abril, 2022]. 98 pp. Disponible en: https://cortesuprema.gov.co/corte/index.php/2022/04/01/acceso-abusivo-a-un-sistema-informatico-concepto/.

[7] Ibid, p. 10.

[8] PALOMA PARRA, Luis Orlando. Delitos informáticos en el Ciberespacio. Bogotá: Ediciones Jurídicas Andrés Morales, 2018. 239 pp. ISBN 9789584608857.

[9] CORTE SUPREMA DE JUSTICIA. Sentencia SP 592 de 2022 [en línea]. Radicación 50621. Bogotá: [s.n.], 2022 [consultado el 30 de abril de 2022]. 98 pp. Disponible en: https://cortesuprema.gov.co/corte/index.php/2022/04/01/acceso-abusivo-a-un-sistema-informatico-concepto/.

[10] Ibid, p. 10.

[11] CORTE SUPREMA DE JUSTICIA. Sentencia SP 592 de 2022 [en línea]. Radicación 50621. Bogotá: [s.n.], 2022 [consultado el 30, abril, 2022]. 98 p. Disponible en: https://cortesuprema.gov.co/corte/index.php/2022/04/01/acceso-abusivo-a-un-sistema-informatico-concepto/.

[12] FISCALÍA GENERAL DE LA NACIÓN. Delitos [sitio web]. Bogotá. [Consultado el 29, mayo, 2022]. Disponible en: https://www.fiscalia.gov.co/colombia/gestion/estadisticas/delitos/.

[13] OJEDA PEREZ, Jorge Eliécer. Delitos informáticos y entorno jurídico vigente en Colombia. [Consultado el 29 de mayo de 2022]. Disponible en. http://www.scielo.org.co/scielo.php?pid=S0123-14722010000200003&script=sci_abstract&tlng=es

[14] PALAZZI, Pablo. Los delitos informáticos en el Código Penal. Buenos Aires: FEDEY, 2016.

[15] VELÁSQUEZ VELÁSQUEZ, Fernando. (2009). Derecho penal, Parte general 4ª ed. Medellín: Comlibros.

[16] “En las acciones a propio riesgo, o «autopuestas» en peligro, la víctima (con plena conciencia) se pone en tal situación o permite que otra persona la ponga en riesgo, por lo que no puede imputársele el tipo objetivo a un tercero, ya que quien conscientemente se expone a un acontecer amenazante se hace responsable de las consecuencias de su propia actuación. Corte Suprema de Justicia.” SP3070 – 2019.

[17] Matellanes Rodríguez, Nuria. (2000). Algunas notas sobre las formas de delincuencia informática en el Código Penal. En: M. D. Diego Díaz-Santos, y V. Sánchez López, Hacia un derecho penal sin fronteras, (pp. 129-147). Madrid: Colex.

[18] CORTE SUPREMA DE JUSTICIA. Sentencia SP 592 de 2022 [en línea]. Radicación 50621. Bogotá: [s.n.], 2022 [consultado el 30 de abril de 2022]. 98 pp. Disponible en: https://cortesuprema.gov.co/corte/index.php/2022/04/01/acceso-abusivo-a-un-sistema-informatico-concepto/