Convención sobre Ciberdelincuencia

La Convención sobre Ciberdelincuencia, también conocida como la Convención de Budapest sobre Ciberdelincuencia, es el primer tratado internacional que aborda los delitos informáticos y de Internet (ciberdelincuencia) mediante la aplicación de las leyes nacionales, la mejora de las técnicas de investigación y la cooperación internacional.

Fue elaborado por el Consejo de Europa en Estrasburgo, Francia, con la participación Canadá, Japón, Filipinas, Sudáfrica y Estados Unidos.

Convención sobre Ciberdelincuencia

El Convenio fue adoptado por el Comité de Ministros del Consejo de Europa, el 8 de noviembre de 2001, se firmó en Budapest el 23 de noviembre de 2001 y entró en vigor el 1 de julio de 2004.

El 1 de marzo de 2006 entró en vigor el Protocolo Adicional al Convenio sobre Ciberdelincuencia, que obliga a los Estados a tipificar como delito la difusión de material racista y xenófobo, a través de sistemas informáticos; así como las amenazas e insultos relacionados con el racismo o la xenofobia.

El Convenio es una respuesta colectiva de los miembros del Consejo de Europa (46 Estados) y algunos Estados no miembros  al desafío de la ciberdelincuencia. Es el resultado de 4 años de trabajo intensivo por parte de un comité de expertos, que recibió el encargo del Comité de Ministros de preparar un instrumento jurídicamente vinculante basado en recomendaciones anteriores del Consejo de Europa sobre delitos informáticos y problemas de procedimientos penales relacionados con la tecnología de la información.

Objetivos de la Convención sobre Ciberdelincuencia

La Convención es el primer tratado internacional relativos a los delitos cometidos a través de Internet y otras redes informáticas. Este instrumento legal se ocupa, particularmente, de las infracciones de los derechos de autor, el fraude informático, la pornografía infantil, los delitos motivados por el odio y las violaciones de la seguridad de la red. También contiene una serie de facultades y procedimientos para prevenir y combatir estos delitos, mediante el allanamiento de las redes informáticas y la interceptación lícita.

Su objetivo principal, expuesto en el preámbulo, es desarrollar una política penal común dirigida a la protección de la sociedad ante a la ciberdelincuencia.

Los principales objetivos de la Convención eran: establecer definiciones comunes de ciertos delitos penales para que la legislación pueda armonizarse a nivel nacional; definir reglas comunes para los poderes de investigación que se adapten al entorno de la tecnología de la información; determinar los tipos tradicionales y nuevos de cooperación internacional para que los países puedan cooperar rápidamente en sus investigaciones y enjuiciamientos, por ejemplo, utilizando una red de contactos permanentes.

Delitos definidos en la Convención sobre Ciberdelincuencia

La Convención define como delito el acceso ilegal, interceptación ilegal, interferencia de datos y del sistema, uso indebido de dispositivos, falsificación informática, fraude informático, la pornografía infantil y delitos relacionados con los derechos de autor y derechos conexos.

También establece la conservación acelerada de los datos almacenados, la divulgación parcial de los datos de tráfico, la orden de presentación, la búsqueda y la incautación de datos informáticos, la recopilación en tiempo real del manejo de datos y la interceptación de los datos de contenido.

Además, el Convenio contiene una disposición sobre el acceso transfronterizo a datos informáticos almacenados, y que no requiere asistencia mutua y prevé la creación de una red 24 horas al día, 7 días a la semana para garantizar la asistencia oportuna entre las Partes Signatarias. Además, provee de una protección adecuada de los derechos humanos y las libertades, incluidos los derechos derivados del Convenio Europeo de Derechos Humanos, el.Pacto Internacional de Derechos Civiles y Políticos, y demás instrumentos internacionales de derechos humanos.

Se ha complementado con un Protocolo Adicional que convierte cualquier publicación de propaganda racista y xenófoba a través de redes informáticas en un delito penal, similar a las leyes de difamación penal. Actualmente, el ciberterrorismo también se estudia en el marco de la Convención.

https://i0.wp.com/www.informaticaforense.com.co/wp-content/uploads/2019/03/budapest.jpg?fit=630%2C354&ssl=1

Adhesión de los Estados Unidos | Convención sobre Ciberdelincuencia

El Senado de los Estados Unidos ratificó la Convención por unanimidad, el agosto de 2006, y entró en vigor el 1 de enero de 2007.

El Centro de Información de Privacidad Electrónica señala que la Convención incluye una lista de delitos que cada estado firmante debe ajustar a su propia ley. Requiere la penalización de actividades como la piratería y la pornografía infantil. También amplía la responsabilidad penal por violaciones de propiedad intelectual, y requiere que cada estado implemente mecanismos procesales dentro de sus leyes. Por ejemplo, las autoridades encargadas de hacer cumplir la ley para obligar a un proveedor de servicios de Internet a monitorear las actividades de una persona en línea en tiempo real.

Finalmente, la Convención requiere que los estados brinden cooperación internacional para las investigaciones y procedimientos relacionados con delitos penales cometidos haciendo uso de los sistemas informáticos y datos, o para la recopilación de pruebas de dichos delitos en formato electrónico.

Adhesión de otros estados no pertenecientes al Consejo de Europa

A partir de octubre de 2022, los siguientes estados no pertenecientes al Consejo de Europa ratificaron el tratado: Argentina, Australia, Cabo Verde, Canadá, Chile, Colombia, Costa Rica, República Dominicana, Ghana, Israel, Japón, Mauricio, Marruecos, Nigeria, Panamá, Paraguay, Perú, Filipinas, Senegal,Sri Lanka, Tonga y Estados Unidos.

Aunque Egipto no ha firmado la Convención, ha legislado dos leyes importantes relacionadas con los delitos informáticos. La legislación está dirigida a los servicios de redes sociales, y criminaliza las noticias falsas y el terrorismo.

India también reconsideró su posición de convertirse en miembro de la Convención de Budapest debido al aumento de los delitos cibernéticos.

¿Cuáles son los beneficios y el impacto de la Convención sobre el Delito Cibernético?

El Convenio de Budapest es más que un documento legal; es un marco que permite a cientos de profesionales de las Partes compartir experiencias y crear relaciones que facilitan la cooperación en casos específicos, incluso en situaciones de emergencia, más allá de las disposiciones específicas previstas en este Convenio.

Cualquier país puede hacer uso del Convenio de Budapest como guía, lista de verificación o ley modelo . Además, convertirse en Parte de este tratado conlleva ventajas adicionales.

Convención sobre la Ciberdelincuencia

¿Quiénes son las Partes en el Convenio de Budapest?

Una vez que esté disponible un (proyecto) de ley que indique que un Estado ya ha implementado o es probable que implemente las disposiciones de la Convención de Budapest en la legislación nacional, el Ministro de Relaciones Exteriores (u otro representante autorizado) enviará una carta al Secretario General del Consejo de Europa declarando el interés de su Estado en adherirse al Convenio de Budapest. Una vez que haya acuerdo entre las actuales Partes de la Convención, se invitaría al Estado a adherirse.

Convención sobre la Ciberdelincuencia

Las nuevas variedades de actividad delictiva plantean desafíos para los sistemas legales

El desarrollo de Internet y la proliferación de la tecnología informática ha creado nuevas oportunidades para quienes se dedican a actividades ilegales. Actualmente, el auge de la tecnología y la comunicación en línea no solo ha producido un aumento dramático en la incidencia de la actividad delictiva, sino que también ha resultado en el surgimiento de lo que parecen ser algunas nuevas variedades de actividad delictiva. Tanto el aumento en la incidencia de la actividad delictiva como la posible aparición de nuevas variedades de actividad delictiva plantean desafíos para los sistemas legales, así como para la aplicación de la ley.

Convención sobre la Ciberdelincuencia

La reacción del Consejo de Europa sobre la ciberdelincuencia

El Consejo de Europa fue uno de los primeros organismos internacionales en reaccionar ante este desafío cuando en 1996 encargó a un grupo de expertos que redactara un tratado internacional para abordar el problema.

Los expertos del Consejo de Europa señalaron que “los rápidos avances en el campo de la tecnología de la información tienen una relación directa con todos los sectores de la sociedad moderna. La integración de los sistemas de telecomunicaciones e información, que permiten el almacenamiento y la transmisión, independientemente de la distancia, de todo tipo de la comunicación abre toda una gama de nuevas posibilidades […] Al conectarse a los servicios de comunicación e información, los usuarios crean una especie de espacio común, denominado “ciberespacio”, que se utiliza con fines legítimos pero que también puede ser objeto de uso indebido.

Estos “delitos cibernéticos” se cometen contra la integridad, disponibilidad, y confidencialidad de los sistemas informáticos y redes de telecomunicaciones o consistan en la utilización de dichas redes o de sus servicios para la comisión de delitos tradicionales. El carácter transfronterizo de tales delitos, por ejemplo, cuando se cometen a través de Internet, entra en conflicto con la territorialidad de las autoridades nacionales encargadas de hacer cumplir la ley”.

Los Desafíos Redes globales y crímenes globales | La Convención del Consejo de Europa sobre el crimen cibernético

A medida que el mundo se vuelve cada vez más dependiente de las redes informáticas globales, nos damos cuenta de cuán vulnerables son los usuarios, ya sean privados, corporativos o gubernamentales, a la intrusión y el uso indebido delictivos.

Las redes informáticas necesitan protección por varias razones: en primer lugar, porque en los últimos años han transformado el mundo en una sociedad de la información global en la que prácticamente ya no existen fronteras; segundo, porque sus implicaciones son de gran alcance en el sentido de que cualquier tipo de información electrónica ahora es accesible para cualquier usuario de Internet en cualquier parte del mundo en cualquier momento (acceso remoto, legal o ilegal, a grandes cantidades de datos oficiales y privados almacenados por sistemas informáticos); tercero, porque las redes informáticas prometen una nueva era de comercio electrónico en línea, ofreciendo servicios y bienes, cuyo valor se estima que supera en volumen anual varios cientos de miles de millones de dólares.

Las redes actuales permiten distribuir contenido ilegal, como pornografía infantil, virus informáticos o incluso información terrorista, por ejemplo, sobre cómo construir y utilizar bombas, a una velocidad fenomenal y a un número ilimitado de usuarios.

Estas redes pueden utilizarse para espiar y robar información confidencial, que suele ser de gran valor económico, o para atacar a distancia los sistemas informáticos de gobiernos o empresas privadas de forma totalmente anónima, causando daños reales o potenciales muy considerables. Estos ataques son perpetrados no solo por jóvenes prodigios informáticos que ponen a prueba los límites de sus habilidades, sino también por piratas informáticos profesionales, ciberterroristas o ciberespías.

Convención sobre la Ciberdelincuencia

Crímenes globales y aplicación de la ley local

Como bien conocidos ataques de denegación de servicio en destacados sitios comerciales de Internet y la difusión de virus, los delitos informáticos son de naturaleza internacional. Esto significa que los gobiernos deben considerar cuestiones importantes de seguridad pública en sus esfuerzos por desarrollar el poder de Internet para comunicarse, participar en el comercio y ampliar las oportunidades educativas de las personas en todo el mundo.

También significa que las redes seguras dependen en gran medida de la capacidad de los gobiernos para desarrollar una respuesta coordinada a las actividades delictivas dirigidas o abusando de los sistemas informáticos.

Esta respuesta requiere cooperación en tres niveles. Primero, la policía nacional y las autoridades judiciales deben contar con las herramientas y prácticas legales para brindarse asistencia mutua rápida en la investigación y enjuiciamiento de delitos informáticos.

En segundo lugar, los gobiernos deben permitir la colaboración directa entre las agencias gubernamentales encargadas de promover el crecimiento y la seguridad del comercio electrónico y las encargadas de proteger la seguridad del público.

Finalmente, el sector privado juega un papel fundamental para garantizar la seguridad y la confianza en las redes compartidas, y los gobiernos deben trabajar en estrecha colaboración con la industria en una variedad de niveles para responder a los problemas asociados con el delito cibernético.

Ofensas criminales | Convención sobre Ciberdelincuencia

La primera parte de la convención se refiere a los delitos penales, que establecen definiciones comunes. Se espera que, si los Estados contratantes las aplican correctamente, estas definiciones eliminarán los problemas de doble incriminación. Estos 9 delitos, muchos de los cuales ya estaban definidos en la recomendación de 1989 sobre delitos informáticos, se dividen en cuatro categorías: delitos contra la confidencialidad, integridad y disponibilidad de datos o sistemas informáticos; delitos informáticos; delitos relacionados con el contenido; y delitos que impliquen la infracción de la propiedad intelectual y los derechos conexos.

El “hackeo”

Hay seis delitos en la primera categoría. Todos ellos se refieren a delitos cuyo principal objetivo es el sistema informático o los datos, por lo que su carácter reprochable está íntimamente ligado al entorno informático en el que se desarrollan. Si bien algunos de estos delitos pueden tener un equivalente en el mundo ordinario (por ejemplo, el acceso ilegal o el “hackeo” pueden compararse con la violación del domicilio), convertirlos en delitos por derecho propio se basó en una clara consideración de política penal para proteger redes informáticas y los datos que contienen.

El daño real o potencial causado por tales delitos informáticos no debe subestimarse. Irrumpir en un sistema informático e introducir un virus puede conducir fácilmente a la destrucción de datos o de sistemas completos en todo el mundo debido a la interconexión de redes. Sin embargo, para que sea considerada una infracción, la conducta debe cometerse de manera intencional e ilícita, es decir, “sin derecho”. De ahí que existan actos que, debidamente autorizados y ejecutados por las autoridades estatales (policiales, de inteligencia o judiciales) o aceptados como prácticas comerciales lícitas, no serán considerados delito penal en virtud de la Convención.

Convención sobre la Ciberdelincuencia

Delitos contra la confidencialidad, integridad y disponibilidad de datos o sistemas de información

Los delitos de la primera categoría se denominan “delitos contra la confidencialidad, integridad y disponibilidad de datos o sistemas de información”. Incluyen el acceso ilegal, o “piratería” (también conocido como “craqueo” o “intrusión informática”), que la Convención considera un delito básico, ya que puede dar lugar a otros delitos, como el acceso ilegal a datos confidenciales (incluidas contraseñas, información sobre el sistema objetivo), uso del sistema sin pago y otras formas de fraude o falsificación informática.

Muchas legislaciones nacionales ya contienen disposiciones sobre los delitos de “piratería informática”, pero su alcance y elementos constitutivos varían considerablemente. Ciertos países aplican una definición limitada o requieren circunstancias calificativas adicionales.

En virtud del Convenio, los Estados contratantes tendrán que tipificar como delito la mera piratería informática o, en su defecto, podrán adjuntar alguno o todos los elementos calificativos enumerados: infracción de las medidas de seguridad, intención especial de obtener datos informáticos, otra dolo que justifique la culpabilidad penal, o la exigencia de que el delito se cometa en relación con un sistema informático conectado a distancia a otro sistema informático.

La última opción permite a los estados contratantes excluir la situación en la que una persona accede físicamente a una computadora independiente sin utilizar otro sistema informático. Pueden restringir el delito al acceso ilegal a los sistemas informáticos en red (incluidas las redes públicas proporcionadas por los servicios de telecomunicaciones y las redes privadas, como Intranets o Extranets).

Convención sobre la Ciberdelincuencia

La interceptación ilegal

Otro delito de esta categoría es la interceptación ilegal, que se basa en la violación de la privacidad, como la intervención y grabación de conversaciones telefónicas orales, y aplica este principio a todas las formas de transferencia electrónica de datos(teléfono, fax, correo electrónico o transferencia de archivos).

El delito se aplica a las transmisiones “no públicas” de datos informáticos. El término ‘no público’ califica la naturaleza del proceso de transmisión (comunicación) y no la naturaleza de los datos transmitidos.

Los datos comunicados pueden ser información disponible públicamente, pero lo que importa es que las partes deseen comunicarse de forma confidencial. O los datos pueden mantenerse en secreto con fines comerciales hasta que se pague el servicio, como en la televisión de pago. Por lo tanto, el término ‘no público’ no significa per seexcluir las comunicaciones a través de redes públicas.

Sin embargo, en algunos países, la interceptación puede estar estrechamente relacionada con el delito de acceso no autorizado a un sistema informático. Para garantizar la coherencia de la prohibición y la aplicación de la ley, los países que exigen la intención deshonesta, o que el delito se cometa en relación con un sistema informático que está conectado a otro sistema informático de conformidad con la disposición sobre acceso ilegal, también pueden requieren elementos calificativos similares para vincular la responsabilidad penal en este delito.

Convención sobre la Ciberdelincuencia

Interferencia de datos

La disposición sobre interferencia de datos busca brindar a los datos y programas de computadora una protección similar a la que disfrutan los objetos corporales contra daños intencionales. Las conductas constitutivas de delito, tales como dañar, deteriorar o suprimir datos informáticos, suponen una alteración negativa de la integridad o del contenido informativo de los datos y programas. La entrada de datos, como códigos maliciosos, virus (por ejemplo, caballos de Troya), también está cubierta, al igual que la modificación resultante de los datos.

La disposición sobre la interferencia del sistematipifica como delito los actos de sabotaje informático. El delito consiste en obstaculizar intencionalmente el uso lícito de los sistemas informáticos, incluidas las instalaciones de telecomunicaciones, mediante el uso o la influencia de datos informáticos.

Con respecto a lo anterior, el texto está formulado de manera neutral para que todo tipo de funciones del sistema puedan ser protegidas por él. El término “obstaculizar” se refiere a acciones que interfieren con el buen funcionamiento del sistema informático. Dicha obstaculización debe tener lugar mediante la introducción, transmisión, daño, borrado, alteración o supresión de datos informáticos. A diferencia de la interferencia de datos, la obstrucción de los sistemas informáticos debe ser “grave” para ser considerada un delito penal.

Los expertos del Consejo de Europa consideraron “grave” el envío de datos a un sistema en particular en tal forma, tamaño o frecuencia que tenga un efecto perjudicial significativo en la capacidad del propietario u operador para usar el sistema, o para comunicarse con otros sistemas (por ejemplo, por medio de programas que generan ataques de “denegación de servicio”, códigos maliciosos como virus que impiden o ralentizan sustancialmente el funcionamiento del sistema, o programas que envían grandes cantidades de correo electrónico a un destinatario con el fin de bloquear las funciones de comunicación del sistema).

Convención sobre la Ciberdelincuencia

Uso indebido de dispositivos

Esta disposición sobre uso indebido de dispositivos establece como delito penal separado algunas conductas específicas (producción, distribución, venta, etc.); relacionadas con dispositivos de acceso que fueron diseñados o adaptados principalmente para uso indebido.

Los dispositivos que están diseñados y utilizados con fines legales no se capturan. Se debatió extensamente si los dispositivos deberían restringirse a aquellos que están diseñados exclusivamente para cometer delitos, excluyendo así totalmente los dispositivos de doble uso, pero era demasiado limitado. Tal definición podría haber dado lugar a dificultades probatorias insuperables en los procesos penales, haciendo que la disposición fuera prácticamente inaplicable.

Por lo tanto, este delito requiere un propósito particular, es decir, cometer cualquiera de los otros delitos contra la confidencialidad, la integridad y disponibilidad de sistemas informáticos o datos; tal como se define en el Convenio. Dado que la comisión de estos delitos suele requerir la posesión de medios de acceso (“herramientas de hacker”) u otras herramientas, existe un fuerte incentivo para adquirirlas con fines delictivos; lo que puede dar lugar a la creación de una especie de mercado negro en su producción y distribución.

Para evitar consecuencias más peligrosas, el Consejo de Europa acordó prohibir conductas relacionadas con la producción, distribución, venta, etc. de tales dispositivos, previas a la comisión de otros delitos informáticos. Además, también se tipifica como delito la mera posesión de tales dispositivos o códigos de acceso. Sin embargo, los estados contratantes son libres de adaptarse a los umbrales locales de criminalización, es decir, exigir que se posea una cantidad de tales artículos.

Dispositivos informaticos

Fraude y falsificación

Delitos de segunda categoría cubren versiones informáticas de dos delitos (fraude y falsificación), que suelen perpetrarse de la manera tradicional, en el mundo físico. No obstante, pueden perpetrarse en las redes informáticas, que en consecuencia se convierten en el medio por el cual se comete el delito, en lugar de ser su objetivo. Ambas son básicamente conductas basadas en la manipulación.

Es necesario tipificar tales conductas como delitos penales dado que la definición de las formas tradicionales, implica que éstas no pueden aplicarse a actos perpetrados a través de redes informáticas. Por ejemplo, en el caso del fraude asistido por computadora, el falta el elemento de engaño y, en el caso de la falsificación asistida por computadora, ya no existe la diferencia entre un original y una copia.

Además, cuando se cometa fraude o falsificación a través de redes informáticas, es probable que un mayor número de personas sufra daños. Su inclusión reconoce el hecho de que en muchos países ciertos bienes jurídicos tradicionales no están suficientemente protegidos contra nuevas formas de injerencia y ataques.

En efecto, con la llegada de la revolución tecnológica se han multiplicado las oportunidades de cometer delitos económicos como el fraude, incluido el fraude con tarjetas de crédito. Los activos representados o administrados en sistemas informáticos (fondos electrónicos, dinero de depósito) se han convertido en objeto de manipulaciones como las formas tradicionales de propiedad. Estos delitos consisten principalmente en manipulaciones de entrada, donde se introducen datos incorrectos en la computadora; o por manipulaciones de programas y otras interferencias con el curso del procesamiento de datos. Su inclusión reconoce el hecho de que en muchos países ciertos bienes jurídicos tradicionales no están suficientemente protegidos contra nuevas formas de injerencia y ataques.

Convención sobre la Ciberdelincuencia

Fraude informático

El objetivo de la disposición sobre el fraude informático es tipificar como delito toda manipulación indebida (incluida la introducción, alteración, supresión, supresión de datos, así como la interferencia con el funcionamiento de un programa o sistema informático), en el curso del tratamiento de datos con la intención de de obtener una transferencia ilegal de propiedad.

El objetivo de la disposición sobre la falsificación relacionada con la informática es crear un delito paralelo a la falsificación de documentos tangibles. Su objetivo es llenar los vacíos en el derecho penal relacionados con la falsificación tradicional, que requiere la legibilidad visual de las declaraciones o declaraciones incorporadas en un documento y que tradicionalmente no se aplica a los datos almacenados electrónicamente. Las manipulaciones de tales datos con valor probatorio pueden tener las mismas consecuencias graves que los actos tradicionales de falsificación si se induce a error a un tercero.

La falsificación informática implica la creación o alteración no autorizada de datos almacenados para que adquieran un valor probatorio diferente y el curso de las transacciones legales, que se basa en la autenticidad de la información contenida en los datos, está sujeto a un engaño.

Convención sobre la Ciberdelincuencia

Pornografía infantil

La tercera categoría de delitos se relaciona con el contenido ilegal e incluye una serie de actos relacionados con la pornografía infantil. Al redactar el Convenio, el Consejo de Europa identificó esta categoría de contenido ilegal como la más peligrosa en el contexto de las redes informáticas, que debía abordarse mediante disposiciones de derecho penal. En consecuencia, la convención tipificó como delitos penales diversos actos que van desde la posesión intencional hasta la producción y distribución de pornografía infantil, cubriendo así todos los posibles eslabones de la cadena.

A pesar de los intensos esfuerzos, otros tipos de contenido ilegal, en particular la propaganda racista, no se incluyeron entre los delitos relacionados con el contenido en la propia convención, pero se agregaron más tarde en un protocolo complementario .

La disposición sobre pornografía infantil busca fortalecer las medidas de protección para los niños, incluida la protección contra la explotación sexual; mediante la modernización de las disposiciones del derecho penal que circunscriben el uso de sistemas informáticos en la comisión de delitos sexuales contra los niños.

No obstante, la mayoría de los Estados ya penalizan la producción tradicional y la distribución física de pornografía infantil; pero con el uso cada vez mayor de Internet como el principal instrumento para comercializar dicho material, se consideró que las disposiciones específicas en un instrumento legal internacional eran esenciales para combatir este nuevo forma de explotación sexual y puesta en peligro de los niños. La opinión generalizada es que este material y las prácticas en línea desempeñan un papel en el apoyo, el fomento o la facilitación de los delitos sexuales contra los niños.

https://gdb.voanews.com/847F6321-7D28-4B5B-9821-6500C87815A6_cx0_cy8_cw0_w408_r1_s.jpg

Infracción de derechos de autor y derechos conexos

La cuarta categoría de delitos implica la infracción de derechos de autor y derechos conexos a través de redes informáticas. Esta categoría también está vinculada a contenido, pero contenido que es legal y está protegido. Las infracciones de los derechos de propiedad intelectual, en particular de los derechos de autor, se encuentran entre los delitos más comunes cometidos en Internet y pueden causar daños sustanciales, tanto a los titulares de derechos de autor como a quienes trabajan profesionalmente con redes informáticas.

La reproducción y difusión en Internet de obras protegidas, sin la aprobación del titular de los derechos de autor, son extremadamente frecuentes. Tales obras protegidas incluyen obras literarias, fotográficas, musicales, audiovisuales y otras. La facilidad con la que se pueden realizar copias no autorizadas debido a la tecnología digital y la escala de reproducción y difusión en el contexto de las redes electrónicas hizo necesario incluir disposiciones sobre sanciones penales y mejorar la cooperación internacional en este campo.

El Convenio establece que las Partes tienen que tipificar como delito las infracciones deliberadas de los derechos de autor y derechos conexos, a veces denominados derechos conexos, que surjan de los acuerdos enumerados en el artículo (por ejemplo, los tratados sobre derechos de autor sobre los ADPIC y la OMPI).

Infracción de derechos de autor

Facultades procesales | Convención sobre Ciberdelincuencia

La segunda parte del Convenio, de carácter procesal, se basa en gran medida en el trabajo previo realizado sobre este tema por el Consejo de Europa; y busca definir los poderes procesales cuyo objetivo principal es permitir que las fuerzas del orden hagan frente a los delitos informáticos.

Los gobiernos se dieron cuenta de que no sólo el derecho penal sustantivo debe mantenerse al tanto de los nuevos abusos informáticos, sino también el derecho procesal penal, así como las facultades y técnicas de investigación. Del mismo modo, las salvaguardias tuvieron que adaptarse o desarrollarse para mantenerse al día con el nuevo entorno tecnológico y los nuevos poderes procesales.

De hecho, hasta la fecha, el derecho procesal de muchos países todavía no tiene en cuenta las dificultades que encuentran los organismos encargados de hacer cumplir la ley al aplicar medios de investigación diseñados para el mundo físico, tangible, al mundo virtual.

Además, recopilar, conservar y presentar pruebas electrónicas fiables a los tribunales es un procedimiento relativamente nuevo; y en ausencia de reglas claras aplicables a redes esto bien puede convertirse en un gran obstáculo en las investigaciones criminales, tanto a nivel nacional como internacional.

La prueba de un delito informático suele ser electrónica (por ejemplo, imágenes digitales, virus o códigos.

Convención sobre la Ciberdelincuencia

Reglas comunes relativas a las facultades procesales

El Convenio pretende establecer reglas comunes relativas a las facultades procesales, ya sea adaptando algunas medidas procesales tradicionales. Por ejemplo, el registro y la incautación, al nuevo entorno tecnológico o mediante la creación de nuevas medidas; la conservación acelerada de datos para garantizar que las medidas tradicionales de recopilación; el registro y la incautación que sigan siendo eficaces en el volátil entorno tecnológico.

Dado que los datos en el nuevo entorno tecnológico no siempre son estáticos, sino que pueden fluir en el proceso de comunicación, también se han adaptado en para permitir la recopilación de datos electrónicos que se encuentran en proceso de comunicación.

El uso de estos procedimientos permitirá encontrar y recopilar evidencia electrónica, ya sea que dicha evidencia esté relacionada con los delitos previstos en la convención (por ejemplo, la pornografía infantil) o con otros delitos (por ejemplo, el lavado de dinero). Por lo tanto, la sección de derecho procesal tiene un alcance mucho más amplio que la sección de derecho sustantivo.

Esta ampliación del alcance de la convención puede tener consecuencias de largo alcance en el sentido de que será posible utilizar los diferentes tipos de facultades de investigación en cualquier caso en que un delito “ordinario” se cometa por medio de un sistema informático o en el que la prueba se encuentra en formulario electronico.

La conservación acelerada de datos informáticos almacenados y de conservación acelerada y divulgación parcial de datos de tráfico

La convención se ocupa de los siguientes poderes: conservación acelerada de datos informáticos almacenados; conservación acelerada y divulgación parcial de datos de tráfico; orden de producción; búsqueda de sistemas informáticos; incautación de datos informáticos almacenados; recopilación en tiempo real de datos de tráfico; interceptación de datos de contenido.

Las facultades de conservación acelerada de datos informáticos almacenados y de conservación acelerada y divulgación parcial de datos de tráfico ambos se aplican a los datos almacenados que ya han sido recopilados y retenidos por los titulares de datos, como los proveedores de servicios. No se aplican a la recopilación en tiempo real de datos de tráfico futuros ni al acceso en tiempo real al contenido de las comunicaciones. Tampoco obligan a recopilar y conservar todos, o incluso algunos, los datos recopilados por un proveedor de servicios u otra entidad en el curso de sus actividades.

Estas dos facultades de conservación se aplican a los datos informáticos que “hayan sido almacenados mediante un sistema informático”, lo que presupone que los datos ya existen, ya han sido recopilados y están almacenados.

Los datos en cuestión pueden ser material ilegal (pornografía infantil) o evidencia  ]de un delito (comunicaciones informáticas o registros de transacciones de un hacker). Determinar la fuente o el destino de estas comunicaciones pasadas puede ayudar a identificar la identidad de los perpetradores. Para rastrear estas comunicaciones a fin de determinar su origen o destino, se requieren datos de tráfico con respecto a estas comunicaciones pasadas.

Convención sobre la Ciberdelincuencia

La conservación expedita de datos informáticos específicos

Ambos poderes permiten a las fuerzas del orden ordenar (u obtener de otro modo) la conservación expedita de datos informáticos específicos: el primer poder de conservación es aplicable cuando es probable que los datos buscados sean particularmente vulnerables a la pérdida o modificación, pero el custodio de los datos es digno de confianza, como una empresa de confianza, y la integridad de los datos se puede asegurar más rápidamente por medio de una orden para preservar los datos.

Para los negocios legítimos, una orden de preservación también puede ser menos perjudicial para sus actividades normales y su reputación que la ejecución de una orden de allanamiento e incautación en sus instalaciones. Este poder no implica que las fuerzas del orden tengan acceso a cualquiera de los datos conservados: solo significa que los datos existentes no se eliminarán hasta que se obtenga su divulgación.

Rastrear una comunicación hasta su fuente

El segundo poder de conservación permite a las fuerzas del orden rastrear una comunicación hasta su fuente, en particular cuando varios proveedores estuvieron involucrados en su transmisión, al obligar al titular de los datos a conservar y divulgar rápidamente algunos datos de tráfico para permitir la identificación de otros proveedores de servicios. que estuvieron involucrados en la transmisión de comunicaciones específicas bajo investigación.

Orden de producción

El poder de emitir una orden de producción, permite a las autoridades obligar a una persona en el territorio de un estado a proporcionar datos informáticos almacenados específicos; o a un proveedor de servicios que ofrece sus servicios en el territorio de la parte a enviar información de suscriptor.

Los datos en cuestión deben ser datos almacenados o existentes, y no incluyen datos que aún no existen, como datos de tráfico o de contenido relacionados con futuras comunicaciones.

En lugar de exigir a los estados que apliquen sistemáticamente medidas coercitivas en relación con terceros, como el registro y la incautación de datos, es esencial que los estados tengan dentro de su derecho interno poderes de investigación alternativos que proporcionen un medio menos intrusivo para obtener información relevante para las investigaciones penales.

Este mecanismo de procedimiento será particularmente beneficioso para los custodios de datos de terceros, como los ISP, que a menudo están preparados para ayudar a los funcionarios encargados de hacer cumplir la ley proporcionando datos bajo su control; pero que requieren una base legal adecuada para divulgar los datos, eximiéndolos así de cualquier responsabilidad contractual o de otro tipo por divulgar los datos.

La orden de producción se refiere a datos informáticos o información de suscriptor que están en posesión o control de una persona o un proveedor de servicios, y solo pueden imponerse a personas en el territorio de la parte, o a proveedores de servicios que ofrecen sus servicios en ese territorio.

El registro de los sistemas informáticos y la incautación de los datos informáticos almacenados

Las facultades relativas al registro de los sistemas informáticos y la incautación de los datos informáticos almacenados son el equivalente informático de las disposiciones tradicionales de búsqueda e incautación en el entorno tangible.

En cuanto a la búsqueda de pruebas, en particular de datos informáticos, en el nuevo entorno tecnológico siguen siendo válidas muchas de las características de una búsqueda tradicional. Por ejemplo, la recopilación de datos se produce durante el período de la búsqueda y con respecto a los datos que existen en ese momento.

Las condiciones previas para obtener la autoridad legal para realizar un registro y el grado de creencia requerido para obtener la autorización legal para realizar un registro son los mismos. Sin embargo, existen ciertas diferencias: primero, los datos están en forma intangible; segundo, si bien los datos pueden leerse con el uso de equipo de cómputo, no pueden ser incautados y sustraídos en el mismo sentido que un registro en papel; tercero, debido a la conectividad de los sistemas informáticos.

Convención sobre la Ciberdelincuencia

Búsqueda informática

El poder de búsqueda informática en la convención está diseñado para garantizar que las autoridades competentes relevantes puedan acceder a los datos y buscarlos. La búsqueda puede referirse a datos contenidos en un sistema informático o parte de él (como un dispositivo de almacenamiento de datos conectado); o en un medio de almacenamiento de datos independiente (CD-ROM o disquete).

En tal sentido, el poder de apoderarse de los datos informáticos almacenados permite a las autoridades incautar o asegurar de manera similar los datos informáticos que han sido buscados; o a los que se ha accedido de manera similar bajo el poder de búsqueda. Esto incluye el poder de incautación de hardware de computadora y medios de almacenamiento de datos de computadora. En ciertos casos, por ejemplo, cuando los datos se almacenan en sistemas operativos únicos de modo que no se pueden copiar, es inevitable que se deba confiscar el soporte de datos en su totalidad.

En el contexto de este Convenio, ‘incautar’ significa quitar el medio físico en el que se registran los datos o la información, o hacer y conservar una copia de dichos datos o información. También implica el uso o incautación de los programas necesarios para acceder a los datos incautados. Dado que las medidas se relacionan con datos almacenados (intangibles), se requerirán medidas adicionales para proteger los datos, por ejemplo.

https://i0.wp.com/www.pablofb.com/wp-content/uploads/2019/06/agence-olloweb-520914-unsplash.jpg?fit=1024%2C680&ssl=1

Recopilación en tiempo real de datos de tráfico y la interceptación en tiempo real de datos de contenido

Los últimos y más intrusivos poderes establecidos por la convención son la recopilación en tiempo real de datos de tráfico y la interceptación en tiempo real de datos de contenido asociados con comunicaciones específicas transmitidas por un sistema informático.

Ambos poderes abordan la recopilación en tiempo real y la interceptación en tiempo real de dichos datos por parte de las autoridades competentes, así como su recopilación o interceptación por parte de los proveedores de servicios.

La distinción entre telecomunicaciones y comunicaciones informáticas, y la distinción entre sus infraestructuras, se está desdibujando con la convergencia de las tecnologías informáticas y de telecomunicaciones. Por lo tanto, la definición de “sistema informático” en la convención no restringe la forma en que los dispositivos o grupo de dispositivos pueden interconectarse.

Estos poderes de interceptación también se aplican a las comunicaciones transmitidas por medio de un sistema informático; lo que podría incluir la transmisión de la comunicación, a través de redes de telecomunicaciones antes de que sea recibida por otro sistema informático. Sin embargo, el tipo de datos que se pueden recopilar es de dos tipos diferentes: el primero se refiere a los datos de tráfico, el segundo a los datos de contenido.

Convención sobre la Ciberdelincuencia

Datos de tráfico y de contenido

Se entiende por “datos de tráfico” cualquier dato informático relativo a una comunicación realizada por medio de un sistema informático. Este es generado por el sistema informático y formaba parte de la cadena de comunicación; indicando el origen, destino, trayecto o ruta, hora, fecha, tamaño y duración o el tipo de servicio.

Los “datos de contenido” no se definen en la convención, pero se refieren al contenido de la comunicación de la comunicación; es decir, el significado o el propósito de la comunicación, o el mensaje o la información que transmite la comunicación (aparte de los datos de tráfico).

Dada la naturaleza intrusiva de la interceptación en tiempo real de los datos de contenido, las leyes nacionales prescriben a menudo que solo está disponible en relación con la investigación de delitos graves o categorías de delitos graves. Por lo tanto, con respecto a la interceptación de datos de contenido, la convención establece específicamente que los estados contratantes solo están obligados a establecer la medida “en relación con una gama de delitos graves que determinará la legislación nacional”.

Sin embargo, los redactores no pudieron ponerse de acuerdo sobre la obligación de los estados de incluir, como excepción, los delitos informáticos en la lista nacional de delitos “graves”, es decir, interceptables. Por lo tanto, el ámbito de aplicación de esta disposición se deja en gran medida a la discreción nacional.

Datos de tráfico y de contenido

Cooperación internacional | Convención sobre Ciberdelincuencia

Esta parte de la Convención es la más importante, ya que busca implementar un régimen de cooperación rápida y eficaz, requerida en las investigaciones de delitos informáticos. En lo que respecta a las pruebas electrónicas, es fundamental que los organismos encargados de hacer cumplir la ley puedan realizar investigaciones en nombre de otros estados; así como, transmitir la información con mayor rapidez.

Además de las formas tradicionales de cooperación internacional en materia delictiva (asistencia mutua y extradición), la convención estipula que los estados contratantes deben aplicar los procedimientos establecidos en la parte anterior de la convención como nuevas formas de asistencia mutua. Por ejemplo, la incautación o preservación de datos en nombre de otra parte.

La convención deja en claro que la cooperación internacional debe brindarse entre los estados contratantes “en la mayor medida posible”. Este principio requiere que se brinden una amplia cooperación entre sí y que minimicen los impedimentos para el flujo fluido y rápido de información y pruebas a nivel internacional.

El alcance general de la obligación de cooperar se deriva del de las facultades procesales definidas por el tratado: la cooperación debe prestarse en relación con los delitos previstos en él; así como en todo lo relativo a los delitos penales relacionados con los sistemas informáticos y los datos; y a la recopilación de pruebas en formato electrónico de un delito penal. Esto es cuando el delito se comete mediante el uso de un sistema informático, o cuando un delito común no se comete utilizando el mismo.

Convención sobre la Ciberdelincuencia

La red 24/7

La Convención también crea la base legal para una red internacional de asistencia específica para delitos informáticos; una red de puntos de contacto nacionales disponibles de forma permanente (“red 24/7”). El combate eficaz de los delitos cometidos mediante el uso de sistemas informáticos y la recopilación eficaz de pruebas en forma electrónica, requiere una respuesta muy rápida.

Además, con unas pocas pulsaciones de teclas, se puede tomar una acción en una parte del mundo que tiene consecuencias a muchos miles de kilómetros; y muchas zonas horarias de distancia. Por esta razón, las modalidades existentes de cooperación policial y asistencia mutua requieren canales complementarios para abordar los desafíos de la era informática de manera efectiva.

El canal establecido en la convención se basa en la experiencia adquirida de una red; ya en funcionamiento creada bajo los auspicios del grupo de naciones, G8. Según la convención, cada parte debe designar un punto de contacto disponible las 24 horas del día, los 7 días de la semana; a fin de garantizar asistencia inmediata en investigaciones y procedimientos dentro del alcance de la convención.

El establecimiento de esta red es uno de los medios más importantes proporcionados por la convención. Su objetivo es garantizar que los estados contratantes puedan responder, de manera efectiva, a los desafíos de aplicación de la ley que plantean los delitos informáticos.

Esta red no reemplazará sino que complementará los canales de cooperación más tradicionales. Cada punto de contacto nacional 24 horas al día, 7 días a la semana, debe facilitar o llevar a cabo directamente; entre otras cosas , la prestación de asesoramiento técnico, la conservación de datos, la recopilación de pruebas, la entrega de información jurídica y la localización de sospechosos.

Búsquedas transfronterizas en sistemas informáticos

Finalmente, debe señalarse con respecto a la cooperación internacional que no hay planes, en esta etapa, para investigaciones transfronterizas genuinas; como búsquedas transfronterizas en sistemas informáticos. Esto es porque los estados negociadores no pudieron ponerse de acuerdo sobre tales arreglos.

Búsquedas transfronterizas en sistemas informáticos

La Comunicación de la Comisión Europea sobre Ciberdelincuencia y sus antecedentes

La Unión Europea ha estado activa en el ámbito de la ciberdelincuencia desde el comienzo del nuevo milenio; en particular, desde la adopción en 2001 de una Comunicación sobre la creación de una sociedad de la información más segura; mediante la mejora de la seguridad de las infraestructuras de la información y la lucha contra la informática. Delito relacionado (COM (2000) 890 final).

La Comunicación de 2001 proponía acciones en una serie de áreas, incluidas las disposiciones legislativas sustantivas y procesales; apropiadas para hacer frente a los delitos informáticos tanto nacionales como transnacionales.

Se adoptaron varias propuestas importantes en seguimiento de la Comunicación. Estos incluyeron la Directiva 2006/24/EC sobre la retención de datos  tratados en relación con la prestación de servicios públicos de comunicaciones electrónicas; y por la que se modifica la Directiva 2002/58/CE, que supuso el establecimiento de un sistema armonizado de recogida y almacenamiento de datos de tráfico en la UE; y la Decisión Marco 2005/222 /JHA sobre ataques contra los sistemas de información.

La Decisión Marco fue el intento de la Unión Europea de lograr un nivel mínimo de aproximación con respecto a tres delitos informáticos. Estos incluyen acceso ilegal a los sistemas de información, interferencia ilegal del sistema, interferencia ilegal de datos; cuyas definiciones se basan en gran medida en las del Convenio del Consejo de Europa sobre Ciberdelincuencia. Sorprendentemente, la Decisión marco no alcanzó un nivel de aproximación superior al del Consejo de Europa, excepto en lo que respecta a las sanciones aplicables.

Sanciones “mínimas y máximas”

El artículo 6 de la Decisión marco preveía, en consonancia con otras decisiones marco, una serie de sanciones “mínimas y máximas”; que para la interferencia ilegal del sistema y la interferencia ilegal de datos, debe ser de entre 1 y 3 años de prisión. Los Estados miembros están obligados a aplicar estas disposiciones a finales de 2007.

Comunicación sobre seguridad de las redes y de la información

Además de las cuestiones de derecho penal, la Unión Europea también ha abordado el campo relacionado de la ciberseguridad general con otra Comunicación en 2001.

Desde entonces, la política de ciberseguridad se ha desarrollado a través de una serie de acciones; la más reciente en Comunicaciones sobre una estrategia para una sociedad de la información segura (COM (2006) 251 final); y en la lucha contra el spam, el software espía y el software malicioso (COM (2006) 688 final ); y en la creación de ENISA en 2004.

El objetivo principal de ENISA es desarrollar experiencia para estimular la cooperación entre los sectores público y privado; así como, brindar asistencia a la Comisión y los Estados miembros.

El Plan de Acción del Consejo y la Comisión que aplica el Programa de La Haya  identificó la necesidad de una acción urgente. Esto para mejorar la coordinación y cooperación europeas entre las unidades de delitos de alta tecnología, en los Estados miembros y con el sector privado.

En este contexto, se preveía la adopción de una nueva Comunicación de la Comisión sobre la ciberdelincuencia y la política de ciberseguridad. Esta nueva Comunicación fue adoptada el 22 de mayo de 2007.

La Comunicación de la Comisión Europea sobre Ciberdelincuencia

La red G8

La Comisión tiene previsto aplicar una “estrategia general para la lucha contra la ciberdelincuencia”, a lo largo de varios años. Entre las acciones más importantes, incluyen hacer seguimiento al trabajo de la red de contactos de 24 horas para el crimen internacional de alta tecnología: la red 24/7.

La red G8 constituye un mecanismo para agilizar los contactos entre los estados participantes, las 24 horas para casos que involucran evidencia electrónica; y aquellos que requieren asistencia urgente de las autoridades policiales extranjeras.

La Comisión tratará de interconectar cualquier red nueva o existente a escala de la UE con la red del G8 y otras estructuras internacionales.

Además, la Comisión considerará una “legislación específica”, basándose en la Decisión marco sobre ataques contra los sistemas de información.

Consciente de las nuevas amenazas que han aparecido posteriormente, la Comisión sigue de cerca esta evolución; en vista de la importancia de evaluar continuamente la necesidad de legislación adicional.

El seguimiento de las amenazas en evolución está estrechamente coordinado con el Programa Europeo para la Protección de Infraestructuras Críticas. La nueva Comunicación también establecerá una serie de objetivos adicionales para la UE en este ámbito.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *