La seguridad Informática en México ha cobrado algo de importancia debido a los múltiples delitos y fraudes cibernéticos que se cometen día a día como la clonación de tarjetas bancarias, obtención de números de cuenta, fraude en comercio electrónico, violación a servidores, sitios Web, pornografía infantil, robo de software, música, etc. Muchos de estos delitos tienen que ver con fraude y propiedad Intelectual. A pesar de que en México se realizan y ofrecen una serie de servicios y transacciones a través de Internet, la legislación de nuestro país ha quedado rezagada en muchos sentidos. En algunos Estados de la República se han promulgado leyes especiales contra este tipo de delitos tratando de evitar que este mal se propague, sin embargo, la estructura legislativa de nuestro país no ha permitido que se generen leyes a nivel nacional que apoyen y resuelvan los conflictos generados por este tipo de ciberdelitos.
De acuerdo a lo que dice la Constitución de los Estados Unidos Mexicanos, está formada por Estados libres y soberanos que componen una república democrática representativa y federal; por lo que su régimen interior va ligado al poder Legislativo. Es decir, las Legislaturas Locales y el Congreso Federal conforman el régimen legislativo de nuestro país (Batiz, Farías, 2003).
A continuación se mencionan algunas de las leyes más importantes en México que aplican actualmente para delitos Informáticos y tipos de ataques más comunes. En ellas se presentan las sanciones y tipo de multas a las que se hace acreedor cualquier persona que robe, borre, infrinja o modifique información a la cual no esté autorizado catalogándose así como un ciberdelito o delito informático, que afecta directamente al comercio electrónico y a los elementos con los que interactúa.
Estos diagramas muestran como están distribuidos los artículos referentes a delitos informáticos.
Delitos Informáticos
Código Penal Federal Código Penal para el D.F.
Ley Federal del Derecho de Autor
Código Penal del Estado de Sinaloa
Iniciativa de Ley Federal de Protección de datos
personales
Ley de Protección de Datos Personales del Estado de Colima
4.5.1 Código Penal sobre Delitos Informáticos:
• Fraude mediante el uso de computadora y la manipulación de información Los artículos 239 y 211 bis, hacen referencia a las penalizaciones impuestas por las leyes de nuestro país al realizar transacciones o movimientos financieros a través de algún medio tecnológico de forma indebida, estipulando también sobre el mal uso de información y divulgación de la misma; violando la confidencialidad de los datos de clientes y usuarios de dichos sistemas. Alguno de estos artículos hablan no sólo de la violación de sistemas, si no de copia, borrado o modificación de datos sobre equipos pertenecientes a una empresa u organización, sea o no gubernamental. Anteriormente solo se hablaba de problemas o daño físico, hoy en día se habla de problemas y daños lógicos. La información es uno de los activos más importantes para cualquier empresa, que en este caso lo vemos aplicado a las que se dedican al comercio electrónico.
Se hace mención de los artículos tal cual están estipulados en los Códigos Federales y Estatales para conocer exactamente las condiciones de Ley que regulan aspectos fundamentales del comercio electrónico y sus implicaciones.
o Artículo 231 del Código Penal para el D.F
“Se impondrán las penas previstas a la persona que para obtener algún beneficio para sí o para un tercero, por cualquier medio acceda, entre o se introduzca a sistemas o programas de informática del sistema financiero e indebidamente realice operaciones, transferencias o movimientos de dinero o valores, independientemente de que los recursos no salgan de la institución…”
o Código Penal Federal Artículos 211 bis
“A quien revele, divulgue o utilice indebidamente o en perjuicio de otro, información o imágenes obtenidas en una intervención de comunicación privada, se le aplicarán sanciones de 6 a 12 años de prisión y de trescientos a seiscientos días de multa”
o Código Penal Federal Artículos 1 a 211 bis 7
• Artículos bis 1: Al que sin autorización Modifique, destruya o provoque perdida de información contenida en sistemas o equipo de informática protegidos por algún mecanismo de seguridad, se le impondrán de 6 a 2 años de prisión y de 100 a 300 días de multa. Y a quien sin autorización conozca o copie información protegida, se le impondrán de 3 meses a 1 año de prisión y de 50 a 150 días de multa. • Artículo 211 bis 2: Al que sin autorización modifique, destruya o
provoque pérdida de información contenida en sistemas o equipos de informática del estado, protegidos por algún mecanismo de seguridad, se le impondrán de 1 a 4 años de prisión y de 200 a 600 días de multa.
A quien sin autorización conozca o copie información contenida en sistemas o equipos de informática del estado, protegidos por algún mecanismo de seguridad, se le impondrán de 6 meses a 2 años de prisión y de 100 a 300 días de multa.
• Artículo 211 bis 3: Al que estando autorizado para acceder a sistemas y equipos de informática del estado, indebidamente modifique, destruya o provoque pérdida de información que contengan, se le impondrán de 2 a 8 años de prisión y de 200 a 900 días de multa.
Al que estando autorizado para acceder a sistemas y equipos de informática del estado, indebidamente copie información que contengan, se le impondrán de 1 a 4 años de prisión y de 150 a 450 días de multa.
• Artículo 211 bis 4: Al que sin autorización modifique, destruya o provoque perdida de información contenida en sistemas o equipos de informática de las instituciones que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se le impondrán de 6 a 4 años de prisión y de 100 a 600 días de multa.
Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática que integran el sistema financiero, protegidos por algún mecanismo de seguridad, se les impondrán de 3 meses a 2 años de prisión y de 50 a 300 días de multa.
• Artículo 211 bis 5: Al que estando autorizado para acceder a sistemas y equipos de informática de las instituciones que integran el sistema financiero, indebidamente modifique, destruya o provoque pérdida de información que contengan, se le impondrán de 6 meses a 4 años de prisión y de 100 a 600 días de multa.
Del mismo modo, para quien indebidamente copie información se le impondrán de 3 meses a 2 años de prisión y de 50 a 30 días de multa. Las penas previstas en este artículo se incrementarán en una mitad cuando las conductas sean cometidas por funcionarios o empleados de las instituciones que integran el sistema financiero.
• Artículo 211 bis 6: Para los efectos de los artículos 211 bis 4y 211 bis 5 anteriores, se entiende por instituciones que integran el sistema financiero, las señaladas en el artículo 400 bis de éste código, en el cual se determina que está integrado por: Las instituciones de crédito, de seguros y finanzas, almacenes generales de depósito, arrendadoras financieras, sociedades de ahorro y préstamo, sociedades financieras de objeto limitado, uniones de crédito, empresas de factoraje financiero, casas de bolsa y otros intermediarios bursátiles, casas de cambio, administradoras de fondo de retiro y cualquier otro intermediario financiero o cambiario.
• Artículo 211 bis 7: Las penas previstas en este capítulo se aumentarán hasta en una mitad cuando la información obtenida se utilice en provecho propio o ajeno.
4.5.2 Código Penal sobre Bases de Datos
En nuestro país no sólo existen leyes a nivel federal, también existen leyes que protegen la confidencialidad y la integridad de los datos, como es el caso del código penal de Sinaloa y Colima; al igual que el código penal federal, estos códigos aplican para la modificación, perdida o intervención de cualquier base de datos o servidores que estén conectados en red, que represente un delito informático y que provoque pérdidas a los dueños del servidor, así como a los usuarios.
oCódigo Penal del Estado de Sinaloa: En el capítulo V de este código, se hace referencia al Delito Informático en el artículo 217 el cual indica, que Comete delito informático, la persona que dolosamente y sin derecho use o entre a una base de datos, sistema de computadoras o red de computadoras o a cualquier parte de la misma, con el propósito de diseñar, ejecutar o alterar un esquema o artificio, con el fin de defraudar, obtener dinero, bienes o información o intercepte, interfiera, reciba use o altere, dañe o destruya un soporte lógico o programa de computadora o datos contenidos en la misma base de datos o red. Al responsable del delito informático se le impondrá una pena de 6 meses a 2 años de prisión y de 90 días de multa.
En particular la Ley de Protección de datos de Colima, hace énfasis al uso que se le da a los datos contenidos en servidores y bases de datos compartidas y de uso público. El artículo 4 maneja conceptos generales de protección a los datos, pero específica también que los datos solo pueden ser utilizados para el fin para el cual fueron recolectados y cualquier otro uso ajeno al establecido, es considerado como un mal uso de la información, convirtiéndolo en un delito informático.
o Ley de Protección de Datos Personales del Estado de Colima:
o Artículo 1º.- La presente Ley es de orden público e interés social, tiene por objeto reglamentar la fracción VI del artículo 1º de la Constitución Política del Estado Libre y Soberano de Colima, a fin de proteger y garantizar los derechos de protección de los datos de carácter personal, como uno de los derechos humanos fundamentales.
Bases de Datos
Iniciativa de Ley Federal de Protección de datos
personales
Ley de Protección de datos personales del
Estado de Colima
o Artículo 2º.- La presente Ley será aplicable a los datos de carácter personal que sean registrados en cualquier soporte físico que permita su tratamiento, tanto por parte del sector público como privado dentro del Estado.
o Artículo 4º.- Para el manejo de los datos de carácter personal se seguirán los principios siguientes:
i. Sólo podrán obtenerse y ser sujetos de tratamiento cuando sean adecuados, pertinentes y no excesivos en relación con el ámbito y las finalidades expresas y legítimas para los que se hayan obtenido;
ii. No podrán usarse para actividades incompatibles a los propósitos para los que fueron obtenidos. No se considerará un uso incompatible el tratamiento posterior para fines estadísticos, históricos o científicos;
iii. Deberán ser correctos y actualizados, de modo que reflejen fielmente la situación del afectado;
iv. No podrán ser guardados de modo que se identifique al interesado una vez que dejen de ser necesarios o pertinentes para la finalidad que les dio origen o haya concluido el plazo de conservación a que obliguen las leyes. Los reglamentos correspondientes indicarán de manera expresa los casos de excepción en que se autorice la conservación íntegra de ciertos datos, en virtud del valor histórico, estadístico o científico que pudieran tener;
v. Deberá garantizarse el derecho de acceso por parte de los interesados para todos los archivos con datos que les correspondan;
vi. Los datos deberán obtenerse en todos los casos por medios lícitos que garanticen el respeto a las garantías individuales y, especialmente, de los derechos al honor y a la intimidad de la persona a la que conciernen. No deberán obtenerse por medios fraudulentos, desleales, ilícitos o engañosos;
vii. Previamente a su obtención, se deberá informar al interesado de manera completa y precisa sobre la existencia del archivo, su finalidad, el carácter obligatorio u optativo de la información que proporcione, las consecuencias del suministro de los datos o la negativa a hacerlo, la posibilidad de ejercer el derecho de acceso, rectificación, cancelación y oposición, así como la identidad y dirección del responsable del archivo;
viii. Cuando se obtengan por parte de terceros, el responsable del archivo, a través de los mecanismos que defina el reglamento correspondiente, dentro de los 60 días naturales siguientes notificará al interesado después de haber dado de alta los datos, a menos que exista legislación al respecto que indique otra medida o se trate de procesos para fines históricos, estadísticos
o científicos, o cuando los datos provengan de fuentes accesibles al público;
ix. Será necesario el consentimiento explícito e inequívoco del interesado para cualquier tratamiento de los datos de carácter personal.
o Iniciativa de Ley Federal de Protección de Datos Personales: Ley presentada en febrero de 2001 a la Sesión de la Comisión permanente, que señala la necesidad de contener los efectos nocivos de las nuevas tecnologías sobre los tres derechos fundamentales de las personas: la autonomía, la inviolabilidad y la dignidad de la persona.
Sobre estos principios, es natural, descansa el derecho a la integridad física y moral de la persona, el derecho a que se proteja su intimidad, personal y familiar, y su honor. En este sentido, los principales apartados que llevan el alma del derecho a la protección de datos a través de Internet, o de cualquier medio electrónico, son los artículos primero, segundo y cuarto, de esta iniciativa de ley:
o Artículo 1: Esta ley tiene por objeto asegurar que el trato de datos personales se realice con respeto a las garantías de las personas físicas. Las disposiciones de esta ley también son aplicables, en lo conducente, a los datos de las personas jurídicas. En ningún caso se podrán afectar los registros y fuentes periodísticas.
o Artículo 2: Esta ley es aplicable a los datos de carácter personal que figuren en archivos, registros, bancos o bases de datos de personas físicas o jurídicas, públicas o privadas, y a todo uso posterior, incluso no automatizado, de datos de carácter personal registrados en soporte físico susceptible de tratamiento automatizado.
o Artículo 4: Tratamiento de datos: operaciones y procedimientos sistemáticos que tienen por objeto recolectar, guardar, ordenar, modificar, relacionar, cancelar y cualquiera otra que implique el procesamiento de datos, o su cesión a terceros a través de comunicaciones, consultas, interconexiones y transferencias.
Cabe señalar que Internet no es un completo vacío jurídico, pero debe garantizarse la aplicación tanto de una legislación, así como la ejecución de conjuntos de normas que regulen el aspecto jurídico en la protección de datos (Celorio, 2003).
La protección de datos en Internet es una obligación para quienes tienen contacto con datos de los usuarios y significa una garantía para éstos últimos. Sin embargo, este
régimen de confianza debe estar basado en disposiciones legales sin importar la diferencia entre los distintos ordenamientos jurídicos de cada nación o de las diferentes soluciones tecnológicas que desde la industria del hardware y software se desarrollen para dar soluciones específicas a esta cuestión (Celorio, 2003).
4.5.3 Código Penal sobre Propiedad Intelectual
Propiedad Intelectual es un tema muy común del comercio electrónico, en muchos sitios y páginas Web se venden productos que pueden o no ser originales y que podrían estar sujetos a las leyes de propiedad Intelectual. Esto representa una gran problemática, pero sólo se conoce en México la Ley Federal de Derechos de Autor y de Propiedad industrial, que podrían verse aplicadas en este punto. El hecho de que estas obras se comercialicen de forma directa o a través de medios electrónicos no varía. Por lo que se aplicaría tal cual a quien infrinja alguno de estos códigos.
o Ley Federal del Derecho de Autor Artículo 11: Establece que el derecho de autor es el reconocimiento que hace el Estado a favor de todo creador de obras literarias y artísticas previstas en el artículo 13 de esta Ley, en las cuales se contemplan los programas de cómputo, en virtud del cual otorga su protección para que el autor goce de prerrogativas y privilegios exclusivos de carácter personal y patrimonial. Los primeros integran el llamado derecho moral y los segundos, el patrimonial.
• Dentro del Código Penal en el artículo 424 bis correspondiente a Delitos en Materia de Derechos de Autor: Se impondrá prisión de 3 a 10 años y de 2000 a 20 000 días de multa a quien produzca, reproduzca, introduzca al país, almacene, transporte o distribuya, venda o arriende copias de obras, fonogramas, videogramas o libros, protegidos por la Ley Federal del Derecho de Autor, en forma dolosa, con fin de especulación comercial y sin la autorización que en los términos de la citada Ley deba otorgar el titular de los derechos de autor o de los derechos conexos.
o Ley Federal del Derecho de Autor Artículo 107: Las bases de datos o de otros materiales legibles por medio de máquinas o en otra forma, que por razones de selección y disposición de su contenido constituyan creaciones
Propiedad Intelectual
Ley Federal del Derecho de Autor
Ley de Propiedad Industrial
Ilustración 13: Delitos Informáticos Propiedad Intelectual, Batiz Farias 2003
intelectuales, quedarán protegidas como compilaciones. Dicha protección no se extenderá a los datos y materiales en sí mismos.
o Ley Federal del Derecho de Autor Artículo 110: El titular del derecho patrimonial sobre una base de datos tendrá el derecho exclusivo, respecto de la forma de expresión de la estructura de dicha base, de autorizar o prohibir:
I. Reproducción permanente o temporal, total o parcial por cualquier medio y de cualquier forma.
II. Su traducción, adaptación, reordenación y cualquier otra modificación.
III. La distribución del original o de copias de la base de datos IV. La comunicación al público y
V. La reproducción, distribución o comunicación pública de los resultados de las operaciones mencionadas en la fracción II de este artículo.
o Ley de Propiedad Industrial artículo 1º: Las disposiciones de esta Ley son de orden público y de observancia general en toda la República, sin perjuicio de lo establecido en los Tratados Internacionales de los que México sea parte. Su aplicación administrativa corresponde al Ejecutivo Federal por conducto del Instituto Mexicano de la Propiedad Industrial.
o Ley de Propiedad Industrial artículo 2o: Esta Ley tiene por objeto:
i. Establecer las bases para que, en las actividades Industriales y comerciales del país, tenga lugar un sistema permanente de perfeccionamiento de sus procesos y productos;
ii. Promover y fomentar la actividad inventiva de aplicación industrial, las mejoras técnicas y la difusión de conocimientos tecnológicos dentro de los sectores productivos;
iii. Propiciar e impulsar el mejoramiento de la calidad de los bienes y servicios en la industria y en el comercio, conforme a los intereses de los
consumidores;
iv. Favorecer la creatividad para el diseño y la presentación de productos nuevos y útiles.
v. Proteger la propiedad industrial mediante la regulación y otorgamiento de patentes de invención; registros de modelos de utilidad, diseños industriales, marcas, y avisos comerciales; publicación de nombres comerciales;
declaración de protección de denominaciones de origen, y regulación de secretos industriales, y
vi. Prevenir los actos que atenten contra la propiedad industrial o que
constituyan competencia desleal relacionada con la misma y establecer las sanciones y penas respecto a ellos.
4.5.4 Código de Comercio para Cómputo Forense y Firmas Electrónicas
Dentro de los aspectos que más interesantes en este trabajo se encuentran la parte de seguridad y comercio electrónico, por lo que se muestran diversas leyes que aplican en la parte de transacciones electrónicas, tal como lo es la firma electrónica y el computo
forense. La firma electrónica apoya a dar autenticidad a los documentos y acuerdos que se llevan a cabo de manera electrónica, mientras que el cómputo forense se encarga de realizar las investigaciones pertinentes una vez que un servidor, equipo de cómputo, o elemento de la red ha sido víctima de un ataque informático. Estos elementos ayudan a identificar culpables de violaciones de seguridad que se traduce como un ilícito y afecta tanto a los usuarios como las empresas que ofrecen sus servicios a través de Internet.
o Código de Comercio Artículo 95: Conforme al artículo 90, siempre que se