Conceptos y elementos del acceso abusivo a sistemas informáticos

El acceso abusivo a sistemas informáticos (Delitos contra la confidencialidad; la integridad y la disponibilidad de los datos y de los sistemas informáticos) constituye una de las problemáticas más relevantes en la actualidad, dada la expansión de las tecnologías de la información y la comunicación (TIC) y su incidencia en la vida cotidiana. El marco legal que regula esta conducta tiene su origen en diversas disposiciones dentro del Derecho Penal, que buscan proteger la integridad de los sistemas informáticos y salvaguardar la privacidad y seguridad de los usuarios.

El acceso abusivo a sistemas informáticos se refiere al uso no autorizado, ilegal o ilícito de un sistema de información, red informática o base de datos, vulnerando su seguridad. Este acto se realiza generalmente mediante el empleo de métodos fraudulentos o técnicas de hacking, que permiten al delincuente acceder a información privada, modificar datos, o incluso bloquear el funcionamiento de un sistema con fines maliciosos. 

En el contexto colombiano, este tipo de acceso está regulado por la Ley 1273 de 2009, que modificó el Código Penal para incorporar delitos relacionados con la informática. En su artículo 269A, se establece el delito de “Acceso abusivo a un sistema informático”.

Artículo 269A. Acceso abusivo a un sistema informático

El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1.000 salarios mínimos legales mensuales vigentes.

Este artículo tipifica la conducta de aquel que, sin la debida autorización, accede a un sistema informático, red o base de datos con el fin de obtener, modificar o destruir información. Los elementos configurativos de este delito son los siguientes:

Acceso no autorizado: El actor debe acceder sin el consentimiento del titular del sistema informático o de la información.

Acto ilícito: El acceso debe realizarse con el propósito de cometer un acto delictivo, como la sustracción de datos, la alteración de información, o la generación de daños al sistema.

Resultado material: El delito se consuma cuando el acceso tiene efectos, ya sea la obtención de datos, la alteración del sistema o la afectación de su integridad.

Aspectos relevantes de la Ley 1273 de 2009

La Ley 1273 de 2009 es un hito legislativo en Colombia en cuanto a la regulación de los delitos informáticos, ya que introdujo una serie de modificaciones y adiciones al Código Penal para combatir las nuevas formas de criminalidad derivadas del uso de las tecnologías.

En particular, el artículo 269A establece que quien acceda a un sistema informático sin autorización, con el fin de obtener, alterar o destruir información, será sancionado con penas de prisión que oscilan entre uno y cuatro años.

La norma también establece una agravación de la pena cuando el acceso indebido se realiza con el fin de obtener información confidencial o si el delito es cometido por una persona que ejerza funciones públicas o tenga una relación de confianza con el titular del sistema afectado.

Este tipo de agravantes tiene como fin disuadir las conductas delictivas dentro del ámbito profesional y administrativo, dado el acceso privilegiado que algunas personas pueden tener a los sistemas informáticos de organizaciones públicas y privadas.

La responsabilidad penal en el acceso abusivo a sistemas informáticos

El acceso abusivo a sistemas informáticos puede acarrear graves consecuencias para la persona que incurra en él. Desde el punto de vista del derecho penal, se reconoce que el responsable de este delito puede enfrentar penas tanto privativas de libertad como medidas accesorias que impliquen la reparación del daño causado.

Es fundamental resaltar que en el marco de la responsabilidad penal en Colombia, la jurisprudencia ha establecido que el acceso abusivo no depende exclusivamente de la autorización o la autorización previa, sino que también se considera la intención del sujeto. Por ejemplo, se considera que el acceso es “abusivo” si la persona que accede al sistema tiene conocimiento de que está violando una norma o está actuando fuera de los límites de su autoridad, incluso si el acceso técnicamente parece ser posible o no está explícitamente bloqueado.

Jurisprudencia y la evolución del tratamiento penal del acceso abusivo

La Corte Suprema de Justicia y la Corte Constitucional de Colombia han abordado diversos casos relacionados con el acceso abusivo a sistemas informáticos, consolidando principios importantes para la interpretación y aplicación de las normas penales en este contexto. Una de las cuestiones más discutidas ha sido la determinación de la responsabilidad penal en casos de acceso no autorizado en los que el acceso es realizado por personas que, aunque no cuentan con la autorización directa, tienen acceso legítimo a ciertas plataformas o bases de datos en razón de su función o relación laboral.

En este sentido, las cortes han dejado claro que la simple existencia de acceso legítimo no exonera de responsabilidad a quien emplee dicho acceso con fines ilícitos, como la obtención de información confidencial o la manipulación indebida de datos.

Sanciones y protección de los sistemas informáticos

El marco sancionador del acceso abusivo a sistemas informáticos está diseñado para disuadir la comisión de estos delitos, garantizando, al mismo tiempo, la protección de la privacidad y la seguridad de los sistemas informáticos. Las sanciones previstas por la ley son severas y van desde la privación de libertad hasta la imposición de multas. Además, la Ley 1273 de 2009 contempla mecanismos de reparación a las víctimas, permitiendo la indemnización por los daños ocasionados.

Asimismo, las autoridades colombianas han intensificado las medidas de prevención y control de los delitos informáticos, a través de programas de formación, la promoción de buenas prácticas en el uso de tecnologías, y la implementación de herramientas que mejoren la seguridad de los sistemas informáticos, tanto en el ámbito público como privado.

Tenga en cuenta…

El delito se configura cuando se accede, sin autorización o excediendo los permisos otorgados, a un sistema informático, o cuando se permanece en él en contra de la voluntad del titular que tiene derecho a impedir el acceso. No es necesario que se altere, manipule o utilice la información contenida en el sistema. El delito busca proteger, entre otros, la privacidad, la confidencialidad de la información, la seguridad de los medios informáticos y la propiedad sobre los datos.

La pena por este delito varía entre cuarenta y ocho (48) y noventa y seis (96) meses de prisión, además de una multa que va de 100 a 1.000 salarios mínimos legales mensuales vigentes.

La pena se incrementa entre un 50% y un 75% si el delito se comete bajo las siguientes circunstancias:

1. Si afecta a redes o sistemas informáticos o de comunicaciones estatales, oficiales o del sector financiero, tanto nacionales como extranjeros.
   
   
2. Si el autor es un servidor público en ejercicio de sus funciones.
   
   
3. Si se aprovecha la confianza que le ha sido depositada por el titular de la información o por alguien con quien se tenga un vínculo contractual.
   
   
4. Si se revela o divulga el contenido de la información en perjuicio de otro.
   
   
5. Si se obtiene beneficio para el autor o un tercero.
   
   
6. Si se realiza con fines terroristas o se genera un riesgo para la seguridad o defensa nacional.
   
   
7. Si se utiliza a un tercero de buena fe como instrumento para cometer el delito.
   
   
8. Si el responsable de la conducta es quien administra, maneja o controla la información, además se le impondrá una pena adicional de inhabilitación por hasta tres años para ejercer profesiones relacionadas con sistemas de información procesada mediante equipos computacionales.
   
   

Conclusiones

El acceso abusivo a sistemas informáticos es una conducta que plantea un reto significativo para el derecho penal colombiano, dado el avance tecnológico y la constante aparición de nuevas modalidades de ciberdelincuencia.

La legislación vigente, particularmente la Ley 1273 de 2009, busca garantizar la seguridad de los sistemas informáticos y la protección de la información en el país, pero también exige una constante actualización y adaptación a las nuevas formas de criminalidad.

Se entiende como sistema informático cualquier dispositivo o conjunto de dispositivos informáticos que procesan, almacenan o gestionan datos. Ejemplos de sistemas informáticos incluyen redes sociales, correos electrónicos, bases de datos de clientes, sistemas contables o de inventarios, entre otros.

Es importante destacar que estos sistemas informáticos suelen conservar información por un tiempo determinado (registros de ingresos, modificaciones, usuarios que realizaron estas acciones, etc.), por lo que se debe asegurar la información lo más pronto posible para evitar su pérdida.

Para que esta información sea válida como prueba en el proceso penal, se debe solicitar al fiscal encargado que ordene la práctica de una prueba pericial, informando sobre los riesgos de pérdida de datos, según las características del sistema afectado. Asimismo, la persona afectada puede recurrir a un perito certificado para obtener la información, que podrá ser utilizada como prueba dentro del proceso.

Es esencial que tanto los operadores jurídicos como los usuarios de sistemas informáticos comprendan la gravedad de este delito y las consecuencias legales que acarrea. De igual manera, se debe seguir promoviendo la educación en ciberseguridad y fomentar una cultura de respeto y responsabilidad en el uso de las tecnologías para prevenir el acceso abusivo y otros delitos relacionados.