Sie sind auf Seite 1von 24

Balotas de Informática Jurídica

1. ¿Qué es la Seguridad en Internet?

Intentar comunicar un secreto en un entorno con millones de testigos potenciales como Internet es difícil, y
la probabilidad de que alguien escuche una conversación entre dos interlocutores se incrementa conforme lo
hace la distancia que las separa. Dado que Internet es verdaderamente global, ningún secreto de valor debería
ser comunicado a través de ella sin la ayuda de la criptografía. En el mundo de los negocios, información
como números de tarjetas de crédito, autenticaciones de clientes, correos electrónicos e incluso llamadas
telefónicas acaba siendo enrutada a través de Internet. Ya que gran parte de esta información corporativa no
debe ser escuchada por terceras personas, la necesidad de seguridad es obvia. Sin embargo, la Seguridad en
Internet no es sólo una preocupación empresarial. Toda persona tiene derecho a la privacidad y cuando ésta
accede a Internet su necesidad de privacidad no desaparece. La privacidad no es sólo confidencialidad, sino
que también incluye anonimato. Lo que leemos, las páginas que visitamos, las cosas que compramos y la
gente a la que hablamos representan información que a la mayoría de las personas no les gusta dar a conocer.
Si las personas se ven obligadas a exponer información que normalmente desean ocultar por el hecho de
conectarse a Internet, probablemente rechazarán todas las actividades relacionadas con la red.
Gestión de claves (incluyendo negociación de claves y su almacenamiento): Antes de que el tráfico sea
enviado/recibido, cada router/cortafuegos/servidor (elemento activo de la red) debe ser capaz de verificar la
identidad de su interlocutor.
Confidencialidad: La información debe ser manipulada de tal forma que ningún atacante pueda leerla. Este
servicio es generalmente prestado gracias al cifrado de la información mediante claves conocidas sólo por los
interlocutores.
Imposibilidad de repudio: Ésta es una forma de garantizar que el emisor de un mensaje no podrá
posteriormente negar haberlo enviado, mientras que el receptor no podrá negar haberlo recibido.
Integridad: La autenticación valida la integridad del flujo de información garantizando que no ha sido
modificado en el tránsito emisor-receptor.
Autenticación: Confirma el origen/destino de la información -corrobora que los interlocutores son quienes
dicen ser.
Autorización: La autorización se da normalmente en un contexto de autenticación previa. Se trata un
mecanismo que permite que el usuario pueda acceder a servicios o realizar distintas actividades conforme a
su identidad. Dependiendo de qué capa de la pila de protocolos OSI se implemente la seguridad, es posible
prestar todos o sólo algunos de los servicios mostrados anteriormente. En algunos casos tiene sentido proveer
algunos de ellos en una capa y otros en otra diferente.

Seguridad en el Nivel de Red.- Implementar la seguridad en el nivel de red tiene muchas ventajas. La
primera de todas es que las cabeceras impuestas por los distintos protocolos son menores ya que todos los
protocolos de transporte y de aplicación pueden compartir la infraestructura de gestión de claves provista por
esta capa. La segunda sería que pocas aplicaciones necesitarían cambios para utilizar la infrastructura de
seguridad, mientras que si la seguridad se implementara en capas superiores cada aplicación o protocolo
debería diseñar su propia infraestructura. Esto resultaría en una multiplicación de esfuerzos, además de
incrementar la probabilidad de existencia de fallos de seguridad en su diseño y codificación. La desventaja
principal de implementar la seguridad en la capa de red es la dificultad de resolver problemas como el de la
imposibilidad de repudio o la autorización del usuario, ciertos mecanismos de seguridad extremo a extremo
-en los routers intermedios no existe el concepto de "usuario", por lo que este problema no podría darse.

Requisitos y Amenazas de la Seguridad.- Para comprender los tipos de amenazas a la seguridad que
existen, daremos algunos conceptos de los requisitos en seguridad. La seguridad en computadores y en redes
implica tres exigencias:
Secreto: requiere que la información en una computadora sea accesible para lectura sólo a usuarios
autorizados. Este tipo de acceso incluye la impresión, mostrar en pantalla y otras formas que incluyan
cualquier método de dar a conocer la existencia de un objeto.
Integridad: requiere que los recursos de un computador sean modificados solamente por usuarios
autorizados. La modificación incluye escribir, cambiar de estado, suprimir y crear.
Disponibilidad: requiere que los recursos de un computador estén disponibles a los usuarios autorizados.
Los tipos de agresión a la seguridad de un sistema de computadores o de redes se caracterizan mejor
observando la función del sistema como proveedor de información. En general, existe un flujo de
información desde un origen, como puede ser un fichero o una región de memoria principal, a un destino,
como otro fichero o un usuario.

2. ¿Cuáles son los cuatro tipos de agresión?

Interrupción: un recurso del sistema se destruye o no llega a estar disponible o se inutiliza. Ésta es una
agresión de disponibilidad. Ejemplos de esto son la destrucción de un elemento hardware (un disco duro), la
ruptura de una línea de comunicación o deshabilitar el sistema de gestión de ficheros.
Intercepción: un ente no autorizado consigue acceder a un recurso. Ésta es una agresión a la
confidencialidad. El ente no autorizado puede ser una persona, un programa o un computador. Ejemplos de
agresiones a la confidencialidad son las intervenciones de las líneas para capturar datos y la copia ilícita de
ficheros o programas.
Modificación: un ente no autorizado no solamente gana acceso si no que deteriora el recurso. Ésta es una
agresión a la integridad. Algunos ejemplos son los cambios de valores en un fichero de datos, alterando un
programa para que funcione de una forma diferente, y modificando el contenido de los mensajes que se
transmiten en una red.
Fabricación: una parte no autorizada inserta objetos falsos en el sistema. Esta es una agresión a la
autenticidad. Un ejemplo sería la incorporación de registros a un fichero.

3. ¿Qué entendemos por Ataques Pasivos?

Las agresiones pasivas son el tipo de las escuchas o monitorizaciones ocultas de las transmisiones. La meta
del oponente es obtener información que está siendo transmitida. Existen dos tipos de agresiones:
divulgación del contenido de un mensaje o análisis del tráfico.
La divulgación del contenido de un mensaje se entiende fácilmente. Una conversación telefónica, un mensaje
de correo electrónico o un fichero transferido pueden contener información sensible o confidencial. Así, sería
deseable prevenir que el oponente se entere del contenido de estas transmisiones. El segundo tipo de agresión
pasiva, el análisis del tráfico, es más sutil. Suponga que tenemos un medio de enmascarar el contenido de los
mensajes u otro tipo de tráfico de información, aunque se capturan los mensajes, no se podría extraer la
información del mensaje. La técnica más común para enmascarar el contenido es el cifrado. Pero incluso si
tenemos protección de cifrado, el oponente podría ser capaz de observar los modelos de estos mensajes. El
oponente podría determinar la localización y la identidad de los computadores que se están comunicando y
observar la frecuencia y la longitud de los mensajes intercambiados. Esta información puede ser útil para
extraer la naturaleza de la comunicación que se está realizando.
Las agresiones pasivas con muy difíciles de detectar ya que no implican la alteración de los datos. Sin
embargo, es factible impedir el éxito de estas agresiones. Así, el énfasis para tratar estas agresiones está en la
prevención antes que la detección.

4. ¿Qué entendemos por Ataques Activos?

La segunda categoría de agresiones es la de las agresiones activas. Estas agresiones suponen la modificación
del flujo de datos o la creación de flujos falsos y se subdivide en 4 categorías: enmascaramiento, repetición,
modificación de mensajes y denegación de un servicio. Un enmascaramiento tiene lugar cuando una entidad
pretende ser otra entidad diferente. Una agresión de enmascaramiento normalmente incluye una de las otras
formas de agresión activa. Por ejemplo, se puede captar una secuencia de autentificación y reemplazarla por
otra secuencia de autentificación válida, así se habilita a otra entidad autorizada con pocos privilegios a
obtener privilegios extras suplantando a la entidad que los tiene.
La repetición supone la captura pasiva de unidades de datos y su retransmisión subsiguiente para producir un
efecto no autorizado.
La modificación de mensajes significa sencillamente que alguna porción de un mensaje legítimo se altera, o
que el mensaje se retrasa o se reordena para producir un efecto no autorizado.
La denegación de un servicio impide o inhibe el uso o gestión normal de las facilidades de comunicación.
Esta agresión puede tener un objetivo específico: por ejemplo, una entidad puede suprimir todos los
mensajes dirigidos a un destino particular. Otro tipo de denegación de servicio es la perturbación sobre una
red completa, deshabilitándola o sobrecargándola con mensajes de forma que se degrade su rendimiento.
Las agresiones activas presentan características opuestas a las agresiones pasivas. Mientras que una agresión
pasiva es difícil de detectar, existen medidas disponibles para prevenirlas. Por otro lado, es bastante difícil
prevenir una agresión activa, ya que para hacerlo se requeriría protección física constante de todos los
recursos y de todas las rutas de comunicación. Por consiguiente, la meta es detectarlos y recuperarse de
cualquier perturbación o retardo causados por ellos. Ya que la detección tiene un efecto disuasivo, también
puede contribuir a la prevención.

5. ¿Qué se entiende por nombre de dominio?

El Nombre de Dominio es la identidad empresarial en Comercio Electrónico mundial y lo conforma la


dirección del sitio Web en " internet ", que puede obtenerse en el caso de los dominios .com.pe y .pe a través
de la Red Científica Peruana. Debería escoger un nombre de dominio que no sea la marca de otra empresa,
particularmente una marca notoriamente conocida. Esto se debe a que para la mayoría de las legislaciones el
registro de una marca ajena como nombre de dominio equivale a la infracción de una marca, conocida
asimismo como "ciberocupación", y su PYME deberá transferir o anular el nombre de dominio, además de
pagar daños y perjuicios. Asimismo, todos los nombres de dominio registrados en los gTLD como .com, así
como numerosos nombres de dominio registrados en los ccTLD, están sujetos a un procedimiento de
solución de controversias (descrito más adelante) que permite al titular de una marca de comercio o marca de
servicio hacer cesar la ciberocupación de su marca. Existen varias bases de datos en Internet donde podrá
verificar si el nombre de dominio de su elección es una marca registrada en algún país. La OMPI ha creado
un portal de bases de datos sobre marcas:

6. ¿Qué puede hacer si alguien está utilizando el nombre de su empresa como nombre de
dominio?
Algunas personas sin escrúpulos se han dedicado a la "ciberocupación", por lo general con el propósito de
exigir dinero al titular legítimo del nombre o de inducir a engaño o confundir a los consumidores. Si su
marca de comercio o marca de servicio son objeto de ocupación ilegítima, existe un procedimiento muy
simple que puede realizarse en línea por medio del cual un experto independiente decidirá si el nombre de
dominio le deberá ser restituido, y se insta a los registradores a respetar esta decisión. Esta Política Uniforme
de Solución de Controversias fue recomendada en primer lugar por la OMPI como resultado de su proceso
sobre los nombres de dominio de Internet y aprobada a continuación por la ICANN. Encontrará información
sobre esta Política en el sitio Web de la OMPI en: http://arbiter.wipo.int/domains/.
Además de las marcas, es aconsejable evitar los nombres de dominio que incluyen ciertas palabras
controvertidas, tales como nombres geográficos (por ejemplo, Champagne, Beaujolais), nombres de personas
famosas, nombres genéricos de sustancias farmacéuticas, nombres de organizaciones internacionales, y
nombres comerciales (por ejemplo, el nombre de la empresa de otra persona), que puedan interferir con los
derechos de terceras personas o sistemas internacionales de protección.

7. ¿Qué son los delitos informáticos?

En el Perú estos delitos aún no están tipificados en la legislación, y para empezar a desarrollarlo es
conveniente iniciarlo con la definición tomada del doctor Miguel Angel Dávara Rodríguez, Los Delitos
Informáticos son la realización de una acción que, reuniendo las características que delimitan el concepto
delito, sea llevada a cabo utilizando un elemento informático, ya sea hardware o software.
En tal sentido y como resulta lógico, las acciones a que se refiere Dávara serían las conductas ilícitas
sancionadas por el Derecho Penal por haberse vulnerado el bien jurídico protegido denominado Intimidad de
las Personas, puesto que se utilizan elementos informáticos para vulnerar y acceder a la información
contenida en los sistemas informáticos de la víctima, violando de esta forma la intimidad de la misma, de tal
modo que no se sustrae la información para que forme parte del patrimonio del delincuente ya que la
información se mantiene pudiendo éste hacer sólo copias.
8. ¿Cuáles son los delitos informáticos?
Ley de Delitos Informáticos - Ley 30096
Análisis de la Ley 30096
Ley de Delitos Informáticos Aprobada por unanimidad por el Pleno del Congreso de la República del Perú en
la sesión del 12 de septiembre de 2013 y publicada en El Peruano el 22 de octubre de 2013 Octubre de 2013
Referencia para seguir la presentación Objeto de la ley (Artículo 1) Esquematización o reproducción del
artículo correspondiente de la autógrafa aprobada por el Congreso. Comentario Análisis y opinión
relacionados con el texto del(los) artículo(s) esquematizado(s) o reproducido(s) en la(s) diapositiva(s)
inmediatamente anterior(es). Compatibilidad con la Convención de Budapest Análisis y opinión relacionados
con la compatibilidad del artículo esquematizado o reproducido en la diapositiva inmediatamente anterior
con la Convención de Budapest.
Finalidad y Objeto de la Ley
Objeto de la ley (Artículo 1) Prevenir y sancionar las conductas ilícitas que afectan los sistemas y datos
informáticos y otros bienes jurídicos de relevancia penal O B J E T O Cometidos mediante la utilización de
tecnologías de la información o de la comunicación Con la finalidad de garantizar la lucha eficaz contra la
ciberdelincuencia.
Comentario Nos ampararnos en la amplitud conceptual de Julio Téllez Valdés, evitando pugnas doctrinarias
estériles, propias de la intolerancia. Así pues, en general, los delitos informáticos son “actitudes ilícitas que
tienen a las computadoras como instrumento o fin”. En el pensamiento de Eduardo Rosende, habrá conflicto
informático cuando mediante cualquier actividad que involucre el procesamiento automático de datos, se
afecten de forma grave derechos de terceras personas. Vistas así las cosas, no resulta extraño que una ley de
delitos informáticos tipifique conductas específicas, particularmente graves, que están dirigidas contra el
bien jurídico “información” o contra otros bienes jurídicos, si es que para su afectación ha estado
involucrado el procesamiento automático de datos. Más que una ley sustentada en la necesidad de ejercer la
función punitiva del Estado enfocada en la protección de un bien jurídico específico, ya sea éste novedoso o
no, esta ley tiene como principal objetivo la estandarización de la ley penal peruana con el orden penal
internacional determinado, principalmente, por la Convención contra la Cibercriminalidad del Consejo
Europeo (CETS 185), conocida también como Convención de Budapest. De hecho, la octava disposición
complementaria final evidencia esta intención normativa. El camino planteado es el correcto, si es que en
realidad se pretende una adhesión en los términos que la propia Convención determina, ya que ésta tendrá
que pasar satisfactoriamente por exigentes filtros financiados y establecidos por el propio Consejo Europeo.
No hay que dejar de tener en perspectiva que el texto de la Convención de Budapest plantea estándares
normativos, por lo que corresponde que los países adherentes verifiquen, mediante una revisión
introspectiva, si sus respectivas legislaciones penales nacionales cumplen con este estándar o si se necesitan
retoques para afinar la estandarización. Al respecto, cabe señalar que la Convención, al representar un
estándar mínimo que posibilita su universalización, se inclina exclusivamente por la sanción de las conductas
dolosas, vale decir de aquellas cometidas con conocimiento y voluntad de realizar el acto punible y de
obtener el resultado dañoso. En el caso peruano, los tipos penales no tienen que especificar reiterativamente
en todos los casos que las conductas punibles tipificadas están revestidas del dolo como elemento subjetivo
del tipo, ya que el artículo 12 del Código Penal determina con meridiana claridad que el agente de infracción
culposa solamente es punible en los casos expresamente establecidos en la ley. Por ello, la técnica legislativa
penal recomienda no abundar en aclaraciones que solo generarían redundancia innecesaria, ya que no se
compromete en absoluto el estricto apego ala estandarización internacional.
Delitos contra Datos y Sistemas Informáticos
Acceso Ilícito (Artículo 2) El que accede sin autorización A todo o en parte de un sistema informático Con
vulneración de medidas de seguridad establecidas para impedirlo El que accede a un sistema informático
excediendo lo autorizado.
Artículo modificado por el artículo 1º de la Ley nº 30171, publicada el 10/03/2014
El que deliberada e ilegítimamente accede a todo o en parte de un sistema informático, siempre que se
realice con vulneración de medidas de seguridad establecidas para impedirlo, será reprimido con pena
privativa de libertad no menor de uno ni mayor de cuatro años y con treinta a noventa días-multa.
Será reprimido con la misma pena, el que accede a un sistema informático excediendo lo autorizado.
Comentario Compatible con la Convención de Budapest (Artículo 2) Sanciona la violación de la
confidencialidad de la información protegida por medidas de seguridad diseñadas especialmente para evitar
accesos no autorizados. Igualmente, se sanciona el quebrantamiento de los límites de acceso definidos por el
titular de los derechos de autorización. Pena: Privativa de libertad 1 – 4 años. 30 – 90 días multa. Proviene
del proyecto 2520, promovido por el Poder Ejecutivo (iniciativa legislativa del Presidente de la República).
Ejemplos: El ingreso furtivo a la cuenta ajena de correo electrónico protegida mediante una contraseña
secreta de seguridad; la accesión no autorizada al sistema informático de una entidad, aprovechando las
debilidades inadvertidas de la programación o backdoors.
Compatibilidad con la Convención de Budapest La compatibilidad es total, ya que se cumple con describir la
acción delictiva en los mismos términos estandarizados de la Convención. Hay que recordar que las
referencias a la deliberación y a la falta de legitimidad de la acción contenidas en el texto del artículo de la
Convención guardan identidad con el dolo, como elemento subjetivo del tipo presente implícitamente en
todas las tipificaciones contenidas en la ley penal peruana, en aplicación del Artículo 12 del Código Penal,
salvo que el mismo tipo penal expresamente establezca la sanción para la conducta culposa o negligente.
Atentado a la integridad de datos informáticos (Artículo 3) Introduce Hace inaccesibles Borra A través de
las TIC Suprime Datos Informáticos Deteriora Altera
Artículo modificado por el artículo 1º de la Ley nº 30171, publicada el 10/03/2014
El que deliberada e ilegítimamente daña, introduce, borra, deteriora, altera, suprime o hace inaccesibles
datos informáticos, será reprimido con pena privativa de libertad no menor de tres ni mayor de seis años y
con ochenta a ciento veinte días-multa.

Comentario Compatible parcialmente con la Convención de Budapest (Artículo 4) Sanciona el atentado


contra la integridad y la disponibilidad del dato informático. Pena: Privativa de libertad 3 – 6 años. 80 – 120
días multa. Proviene del proyecto 2520, promovido por el Poder Ejecutivo (iniciativa legislativa del
Presidente de la República). Ejemplos: El borrado indebido de los antecedentes penales de una persona
determinada, contenidos en el Registro Oficial; la alteración del monto de la deuda de un cliente de una
empresa de servicios públicos.
Compatibilidad con la Convención de Budapest La compatibilidad existe, ya que se recogen los verbos
rectores “borrar”, “deteriorar”, “alterar” y “suprimir” datos informáticos presentes en el texto de la
Convención. La adición de las acciones de “introducir” y “hacer inaccesibles” los datos informáticos, no se
contraponen con los verbos rectores anteriores, ni distorsionan el estándar internacional. Resulta equivocado
sostener que se penaliza el borrado de archivos de la propia computadora personal, ya que el inciso 10 del
Art. 20 del Código Penal señala que está exento de responsabilidad penal quien actúa con el consentimiento
válido del titular de un bien jurídico de libre disposición. Aún así, si tal acto se produjese por negligencia o
impericia, tampoco habría sanción penal ya que la ley penal peruana (Art. 12 del Código Penal) establece
claramente que no es punible la conducta carente de dolo, salvo que el tipo penal señale expresamente lo
contrario.
Atentado a la integridad de sistemas informáticos (Artículo 4) Inutiliza total o parcialmente Entorpece o
imposibilita la prestación de sus servicios A través de las TIC Entorpece o imposibilita su funcionamiento
Impide el acceso Un sistema informático
Artículo modificado por el artículo 1º de la Ley nº 30171, publicada el 10/03/2014
El que deliberada e ilegítimamente inutiliza, total o parcialmente, un sistema informático, impide el acceso
a
este, entorpece o imposibilita su funcionamiento o la prestación de sus servicios, será reprimido con pena
privativa de libertad no menor de tres ni mayor de seis años y con ochenta a ciento veinte días-multa.

Comentario Compatible con la Convención de Budapest (Artículo 5) Sanciona el atentado contra la


accesibilidad debida o la correcta funcionalidad de un sistema informático. Pena: Privativa de libertad 3 – 6
años. 80 – 120 días multa. Proviene del proyecto 2520, promovido por el Poder Ejecutivo (iniciativa
legislativa del Presidente de la República). Ejemplos: El denominado ataque de denegación de servicio; la
toma indebida de un sistema informático para destinarlo a funciones distintas a las definidas o asignadas por
sus titulares o administradores.
Compatibilidad con la Convención de Budapest Si bien es cierto que la redacción del artículo 4 de la ley no
es igual a la del artículo 5 de la Convención, consideramos que la compatibilidad es total, en tanto que el
concepto de la “obstaculización grave” de un sistema informático, guarda equivalencia con el de la
“inutilización total o parcial” del sistema informático, el del “impedimento del acceso”, el del
“entorpecimiento” o el de la “imposibilidad” de que éste funcione o preste sus servicios. Consideramos un
acierto haber elegido a cualquier forma que emplee las “tecnologías de la información o de la
comunicación”, en vista que las formas que hoy en día existen para realizar estos ataques exceden
largamente las posibilidades incluidas en el artículo 5 de la Convención. Hay que recordar que las referencias
a la deliberación y a la falta de legitimidad de la acción contenidas en el texto del artículo de la Convención
guardan identidad con el dolo, como elemento subjetivo del tipo presente implícitamente en todas las
tipificaciones contenidas en la ley penal peruana, en aplicación del Artículo 12 del Código Penal, salvo que
el mismo tipo penal expresamente establezca la sanción para la conducta culposa o negligente.
Delitos Informáticos contra la Indemnidad y Libertades Sexuales
Proposiciones a niños, niñas y adolescentes con fines sexuales por medios tecnológicos (Artículo 5) El
que a través de las TIC Contacta con un menor de 14 años Para solicitar u obtener de él material
pornográfico, o para llevar a cabo actividades sexuales con él Especial: Cuando la víctima tiene entre 14 y 18
años y media engaño
Artículo modificado por el artículo 1º de la Ley nº 30171, publicada el 10/03/2014
El que a través de internet u otro medio análogo contacta con un menor de catorce años para solicitar u
obtener de él material pornográfico, o para llevar a cabo actividades sexuales con él, será reprimido con
una pena privativa de libertad no menor de cuatro ni mayor de ocho años e inhabilitación conforme a los
numerales 1, 2 y 4 del artículo 36 del Código Penal.
Cuando la víctima tiene entre catorce y menos de dieciocho años de edad y medie engaño, la pena será no
menor de tres ni mayor de seis años e inhabilitación conforme a los numerales 1, 2 y 4 del artículo 36 del
Código Penal.

Comentario No está incorporado en la Convención de Budapest Sanciona el acoso sexual contra un menor
de edad con fines pornográficos o con el propósito de llevar a cabo actividades sexuales que involucren el
quebrantamiento de la libertad sexual del menor (violación sexual o actos contra el pudor). Pena: Privativa
de libertad 4 – 8 años Inhabilitación. Especial: Privativa de libertad 3 – 6 años Inhabilitación Proviene del
proyecto 2520, promovido por el Poder Ejecutivo (iniciativa legislativa del Presidente de la República).
Ejemplos: El denominado “grooming” o el acercamiento de adultos hacia los menores a través de las redes
sociales, con adopción de falsas identidades, para ganar la confianza de la víctima y así obtener material
pornográfico infantil que después se utiliza para extorsiones con fines sexuales o de otra índole.
Delitos Informáticos contra la Intimidad y el Secreto de las Comunicaciones
Tráfico ilegal de datos (Artículo 6) El que Crea Ingresa Utiliza indebidamente Una base de datos sobre
Persona natural identificada o identificable Persona jurídica identificada o identificable Para Comercializar
Traficar Vender Promover Favorecer o facilitar Información relativa a cualquier ámbito de la esfera Personal
Familiar Patrimonial Laboral Financiera Creando o no perjuicio Otro de naturaleza análoga
Artículo modificado por el artículo 1º de la Ley nº 30171, publicada el 10/03/2014 DEROGADO.
Comentario No está incorporado en la Convención de Budapest Sanciona el tratamiento comercial no
consentido de datos personales, sobre todo cuando se trata de datos personales sensibles de acuerdo a la ley
de la materia, independientemente del perjuicio que pudiera sufrir el titular de los datos personales a causa de
esta conducta. Pena: Privativa de libertad 3 – 5 años Surge por la necesidad de evitar la pérdida de vigencia
del derogado artículo 207-D del Código Penal, que recién había sido creado por la Ley 30076. Ejemplos: La
comercialización de bases de datos en conocidas zonas del centro de Lima, que contienen nombres,
documentos de identidad, edades, estados civiles, domicilios, teléfonos, centros de labores, cargos,
remuneraciones, calificaciones de riesgo crediticio y otros datos relevantes.
Interceptación de datos informáticos (Artículo 7) El que a través de las TIC Intercepta datos informáticos
en transmisiones no públicas Dirigidas a un sistema informático; originadas en un sistema informático o
efectuadas dentro del mismo Incluidas Las emisiones electromagnéticas provenientes de un sistema
informático que transporte dichos datos informáticos
Artículo modificado por el artículo 1º de la Ley nº 30171, publicada el 10/03/2014
El que deliberada e ilegítimamente intercepta datos informáticos en transmisiones no públicas, dirigidos a
un sistema informático, originados en un sistema informático o efectuado dentro del mismo, incluidas las
emisiones electromagnéticas provenientes de un sistema informático que transporte dichos datos
informáticos, será reprimido con una pena privativa de libertad no menor de tres ni mayor de seis años.

Comentario Compatible con la Convención de Budapest (Artículo 3) Sanciona la interceptación de datos


informáticos y las emisiones electromagnéticas que transportan estos datos en las transmisiones privadas.
Pena: Privativa de libertad 3 – 6 años. Proviene del proyecto 2520, promovido por el Poder Ejecutivo
(iniciativa legislativa del Presidente de la República). Ejemplos: La captura de emails privados en tránsito; la
interceptación de señales wifi para la conexión privada a internet.
Compatibilidad con la Convención de Budapest Este artículo es totalmente compatible con el artículo 3 de la
Convención: la similitud literal de su redacción releva de mayores comentarios. Hay que recordar que las
referencias a la deliberación y a la falta de legitimidad de la acción contenidas en el texto del artículo de la
Convención guardan identidad con el dolo, como elemento subjetivo del tipo presente implícitamente en
todas las tipificaciones contenidas en la ley penal peruana, en aplicación del Artículo 12 del Código Penal,
salvo que el mismo tipo penal expresamente establezca la sanción para la conducta culposa o negligente. Por
otro lado, el artículo no constituye amenaza alguna contra la libertad de expresión, dado que no se tipifica
como delito a la difusión del material obtenido con infracción de esta norma penal. Por esta razón resulta un
error de apreciación muy grave equiparar este artículo con la denominada “ley mordaza” aprobada por el
Congreso y observada en su oportunidad por el Presidente de la República, ya que dicha ley , a diferencia de
esta Ley 30096, sí penalizaba la difusión pública del material obtenido mediante interceptaciones ilícitas. La
interceptación de comunicaciones privadas, sea cual sea la naturaleza de estas comunicaciones, es una
conducta punible en todas partes del mundo.
Interceptación de datos informáticos (Artículo 7) La pena privativa de libertad será no menor de cinco ni
mayor de ocho años cuando el delito recaiga sobre información clasificada corno secreta, reservada o
confidencial de conformidad con las normas de la materia.
La pena privativa de libertad será no menor de ocho ni mayor de diez cuando el delito comprometa la
defensa, seguridad o soberanía nacionales.
Artículo modificado por el artículo 1º de la Ley nº 30171, publicada el 10/03/2014
La pena privativa de libertad será no menor de cinco ni mayor de ocho años cuando el delito recaiga sobre
información clasificada como secreta, reservada o confidencial de conformidad con la Ley 27806, Ley de
Transparencia y Acceso a la Información Pública.

La pena privativa de libertad será no menor de ocho ni mayor de diez cuando el delito comprometa la
defensa, seguridad o soberanía nacionales.
Si el agente comete el delito como integrante de una organización criminal, la pena se incrementa hasta en
un tercio por encima del máximo legal previsto en los supuestos anteriores.
Comentario Los agravantes no están incorporados en la Convención de Budapest (Artículo 3) Agravantes:
Que delito base recaiga sobre información secreta, reservada o confidencial, conforme a ley; cuando se
comprometa la defensa, seguridad o soberanía nacionales. Pena: Privativa de libertad 3 – 6 años Privativa de
libertad 8 – 10 años. Proviene del proyecto 2520, promovido por el Poder Ejecutivo (iniciativa legislativa del
Presidente de la República). Ejemplos: Captura de archivos en tránsito que contengan información
relacionada a una investigación reservada por ley; Interceptación de comunicaciones que contengan
información sensible y utilizable por potencias extranjeras en conflicto bélico con el Perú.
Delitos Informáticos contra el Patrimonio
Fraude informático (Artículo 8) El que a través de las TIC Procura para sí un provecho ilícito Procura para
otro un provecho ilícito Mediante Diseño de DI Introducción de DI Alteración de DI Borrado de DI
Supresión de DI Clonación de DI O mediante Interferencia en el funcionamiento de un sistema informático
Manipulación en el funcionamiento de un sistema informático En perjuicio de tercero
Artículo modificado por el artículo 1º de la Ley nº 30171, publicada el 10/03/2014
El que deliberada e ilegítimamente fabrica, diseña, desarrolla, vende, facilita, distribuye, importa u obtiene
para su utilización, uno o más mecanismos, programas informáticos, dispositivos, contraseñas, códigos de
acceso o cualquier otro dato informático, específicamente diseñados para la comisión de los delitos
previstos en la presente Ley, o el que ofrece o presta servicio que contribuya a ese propósito, será reprimido
con pena privativa de libertad no menor de uno ni mayor de cuatro años y con treinta a noventa días-multa.

Comentario Compatible con la Convención de Budapest (Artículo 8) Sanciona la afectación de datos


informáticos en su interacción con un sistema informático o la alteración del normal funcionamiento del
sistema informático, para la obtención de un provecho ilícito en perjuicio de tercero. Pena: Privativa de
libertad 3 – 8 años 60 – 120 días multa. Proviene del proyecto 2520, promovido por el Poder Ejecutivo
(iniciativa legislativa del Presidente de la República). Ejemplos: La clonación de tarjetas bancarias; la
disposición de fondos de una línea de crédito a través de una tarjeta falsa.
Compatibilidad con la Convención de Budapest El artículo 8 de la ley es totalmente compatible con el
artículo 8 de la Convención, ya que en ambos casos se pretende la sanción del empleo indebido de datos
informáticos en relación con un sistema informático o de la manipulación del funcionamiento del sistema
mismo, para obtener un provecho ilícito en perjuicio de un tercero. Hay que recordar que las referencias a la
deliberación y a la falta de legitimidad de la acción contenidas en el texto del artículo de la Convención
guardan identidad con el dolo, como elemento subjetivo del tipo presente implícitamente en todas las
tipificaciones contenidas en la ley penal peruana, en aplicación del Artículo 12 del Código Penal, salvo que
el mismo tipo penal expresamente establezca la sanción para la conducta culposa o negligente. Para mayores
referencias acerca de la necesidad de incorporar al fraude informático dentro de la ley peruana, sírvanse
revisar el trabajo del fiscal portugués Pedro Verdelho por encargo de la Convención de Budapest Nov2010.
Fraude informático (Artículo 8) Fines asistenciales Agravantes Cuando se afecte el patrimonio del Estado
destinado a Programas de apoyo social.
Comentario Los agravantes no están incorporados en la Convención de Budapest (Artículo 8) Sanciona el
fraude informático que afecta al patrimonio del Estado destinado a fines asistenciales o a programas de
apoyo social. Pena: Privativa de libertad 5 – 10 años. Proviene del proyecto 2520, promovido por el Poder
Ejecutivo (iniciativa legislativa del Presidente de la República). Ejemplos: Si el fraude informático afecta al
programa JUNTOS; si afecta a los recursos asignados para socorrer a una población víctima de un desastre
natural.
Delitos Informáticos contra la Fe Pública
Suplantación de identidad (Artículo 9) El que mediante las TIC Suplanta la identidad de una persona
natural o jurídica Siempre que de dicha conducta resulte algún perjuicio
Comentario Tiene relación con el Artículo 7 de la Convención de Budapest Sanciona la falsificación de la
identidad de una persona natural o jurídica, siempre que de ello resulte algún perjuicio. Pena: Privativa de
libertad 3 – 5 años. Proviene del proyecto 2520, promovido por el Poder Ejecutivo (iniciativa legislativa del
Presidente de la República). Ejemplos: La creación de perfiles falsos en las redes sociales o de cuentas de
correo, atribuidas a personas reales, para engañar a terceros o perjudicar al suplantado.
Disposiciones Comunes
Abuso de mecanismos y dispositivos informáticos (Artículo 10) El que Fabrica Diseña Desarrolla Vende
Facilita Distribuye Importa Obtiene Uno o más Mecanismos Programas informáticos Dispositivos
Contraseñas Códigos de acceso Específicamente diseñados para la comisión de los delitos previstos en la
presente ley O el que ofrece o presta servicio que contribuya a ese propósito
Artículo modificado por el artículo 1º de la Ley nº 30171, publicada el 10/03/2014
El que deliberada e ilegítimamente fabrica, diseña, desarrolla, vende, facilita, distribuye, importa u obtiene
para su utilización, uno o más mecanismos, programas informáticos, dispositivos, contraseñas, códigos de
acceso o cualquier otro dato informático, específicamente diseñados para la comisión de los delitos
previstos en la presente Ley, o el que ofrece o presta servicio que contribuya a ese propósito, será reprimido
con pena privativa de libertad no menor de uno ni mayor de cuatro años y con treinta a noventa días-multa.

Comentario Compatible con la Convención de Budapest (Artículo 6) Sanciona diversas acciones


comerciales dolosas (Art. 12 Código Penal) vinculadas al empleo de mecanismos, software, contraseñas o
datos informáticos específicamente diseñados para cometer delitos informáticos. Pena: Privativa de libertad 1
– 4 años 30 – 90 días multa. Proviene del proyecto 2520, promovido por el Poder Ejecutivo (iniciativa
legislativa del Presidente de la República). Ejemplos: El tráfico de datos de usuario y contraseña obtenidos
ilícitamente, para cometer fraudes informáticos; la comercialización de equipos diseñados para capturar
datos en los cajeros automáticos (teclados falsos, boquetes con skimmers camuflados, etc.).
Compatibilidad con la Convención de Budapest El artículo 10 de la ley guarda compatibilidad con el artículo
6 de la Convención. Sin embargo, consideramos que la extensión de la finalidad de la acción delictiva a toda
la gama de delitos previstos en la ley, podría generar problemas en la interpretación judicial, ya que el fin del
abuso de dispositivos se entiende extensivo a ilícitos como la interferencia telefónica, la pornografía infantil
o la discriminación. Sería más conveniente que el abuso se sancione cuando tenga por finalidad el acceso
ilícito, la interceptación ilícita, los atentados contra la integridad de los datos informáticos y de los sistemas
informáticos y el fraude informático. Se hace necesario que en este caso, la jurisprudencia determine los
límites de la aplicación de este tipo penal. No caben dudas de que el hacking ético está a salvo de cualquier
persecución penal ya que las referencias a la deliberación y a la falta de legitimidad de la acción contenidas
en el texto del artículo de la Convención guardan identidad con el dolo, como elemento subjetivo del tipo
presente implícitamente en todas las tipificaciones contenidas en la ley penal peruana, en aplicación del
Artículo 12 del Código Penal, salvo que el mismo tipo penal expresamente establezca la sanción para la
conducta culposa o negligente. No hay forma de que una conducta no dolosa sea sancionada por el delito de
abuso de mecanismos y dispositivos informáticos. Asimismo, el numeral 10 del Art. 20 del Código Penal
exime de responsabilidad penal a quien actúa bajo el consentimiento del titular del derecho que es objeto de
protección penal, tal y como sucede con los usuarios que suscriben contratos de hacking ético para examinar
y poner a prueba la seguridad de sus propios sistemas informáticos.
Agravantes (Artículo 11) El agente comete delito en calidad de integrante de organización criminal El
agente comete el delito mediante el abuso de Aumenta hasta 1/3 por encima del máximo legal El agente
comete el delito con el fin de obtener un beneficio económico (salvo en delitos que prevén dicha
circunstancia) Una posición especial de acceso a la data o información reservada El conocimiento de esta
información en razón del ejercicio de un cargo o función Fines asistenciales La defensa nacional El delito
compromete La seguridad nacional La soberanía nacional
Comentario Agravantes no están incorporados en la Convención de Budapest Proviene del proyecto 2520,
promovido por el Poder Ejecutivo (iniciativa legislativa del Presidente de la República). Las circunstancias
mencionadas ameritan el aumento de un tercio por encima del máximo legal fijado para cualquier delito
previsto en la ley. Ejemplos: La actuación de organizaciones criminales en la comisión de delitos
informáticos; el acceso ilícito con fines de obtener beneficios económicos.
Artículo 12. Exención de responsabilidad penal (INCORPORACIÓN)
Está exento de responsabilidad penal el que realiza las conductas descritas en los artículos 2, 3, 4 y 10 con
el propósito de llevar a cabo pruebas autorizadas u otros procedimientos autorizados destinados a proteger
sistemas informáticos.
Artículo modificado por el artículo 1º de la Ley nº 30171, publicada el 10/03/2014
Disposiciones Complementarias Finales
Codificación de la pornografía infantil (Primera DCF)
La PNP puede mantener en sus archivos material de pornografía infantil En medios de almacenamiento de
datos informáticos Con autorización y supervisión del Ministerio Público Para fines exclusivos del
cumplimiento de su función
Comentario No está incorporado en la Convención de Budapest Las reglas para la posesión de archivos de
pornografía infantil en poder de la PNP, bajo la autorización y supervisión del Ministerio Público deben
evitar lesionar los derechos de los niños. Hay que recordar que, aunque estos archivos se utilicen para
facilitar las investigaciones, los niños utilizados para dicho material son víctimas de delitos y podría haber
conflicto con el interés superior del niño, en tanto que este uso podría incrementar aún más el daño sufrido.
Proviene del proyecto 370, promovido por el congresista Octavio Salazar del Grupo Parlamentario de Fuerza
Popular.
Agente encubierto en delitos informáticos (Segunda DCF) El Fiscal Con prescindencia de si estos delitos
están vinculados a una organización criminal Atendiendo a la urgencia del caso particular y con la debida
diligencia A efectos de realizar las investigaciones de todo delito que se cometa mediante las TIC Podrá
autorizar la actuación de agentes encubiertos A efectos de realizar las investigaciones de los delitos previstos
en la ley.
Comentario No está incorporado en la Convención de Budapest La necesidad de infiltrar agentes
encubiertos en el proceso de la comisión de delitos informáticos a cargo de las organizaciones criminales,
debe ser plenamente justificada y motivada por la Fiscalía, ya que existe el riesgo de causar daños a terceros.
Proviene del proyecto 370, promovido por el congresista Octavio Salazar del Grupo Parlamentario de Fuerza
Popular.
Coordinación interinstitucional de la PNP con el Ministerio Público (Tercera DCF)
Coordinación ínterínstitucional entre la Policía Nacional, el Ministerio Público y otros organismos
especializado.
La Policía Nacional del Perú fortalece el órgano especializado encargado de coordinar las funciones de
investigación con el Ministerio Público. A fin de establecer mecanismos de comunicación con los órganos
de gobierno del Ministerio Público, el Centro de respuesta temprana del gobierno para ataques
cibernéticos (Pe-CERT), la Oficina Nacional de Gobierno Electrónico e Informática (ONGEI) y los
Organismos Especializados de las Fuerzas Armadas, la Policía Nacional centraliza la información
aportando su experiencia en la elaboración de los programas y acciones para la adecuada persecución de
los delitos informáticos, y desarrolla programas de protección y seguridad.

Comentario Esta disposición, que proviene del Proyecto 2520 (iniciativa del Poder Ejecutivo), reconoce a la
Policía Nacional la labor desarrollada en la lucha contra los delitos informáticos, a través de la División de
Investigación de Delitos de Alta Tecnología (DIVINDAT), única experiencia desarrollada en el Perú de
dependencia especializada en ciberdelincuencia a cargo de alguna de las instituciones legalmente encargadas
de la investigación y del juzgamiento de delitos: El Ministerio Público y el Poder Judicial aún no han
concretado esfuerzos similares. Por esta razón es que, si bien es cierto que a partir de la vigencia del Código
Procesal Penal corresponde al Ministerio Público liderar la investigación de delitos, no se puede pasar por
alto que es la Policía Nacional la que, a través de la DIVINDAT, aporta el mayor conocimiento,
infraestructura, equipamiento y experiencia no solamente para la investigación de ciberdelitos, sino también
para la custodia de la información vinculada a estas investigaciones. Este rol determina, naturalmente, la
necesidad de fortalecer a la DIVINDAT, a través de la asignación de los recursos necesarios que le permitan
operar en coordinación no solamente con el Ministerio Público y con la responsabilidad de presentar casos
judiciales sustentados en pruebas sólidas, sino también con instituciones policiales y fiscales de otras partes
del mundo, como resultado de la estandarización internacional que persigue nuestro país.
Cooperación Operativa (Cuarta DCF)
Con el objeto de garantizar el intercambio de información, los equipos de investigación conjuntos, la
transmisión de documentos, la interceptación de comunicaciones y demás actividades correspondientes para
dar efectividad a la presente Ley, la Policia Nacional del Perú, el Ministerio Público, el Poder Judicial, el
Centro de respuesta temprana del gobierno para ataques cibernéticos (Pe-CERT), la Oficina Nacional de
Gobierno Electrónico e Informática (ONGEI), Organismos Especializados de las Fuerzas Armadas y los
operadores del sector privado involucrados en la lucha contra los delitos informáticos deben establecer
protocolos de cooperación operativa reformada en el plazo de treinta días desde la vigencia de la presente
Ley.

Comentario La novedad que presenta esta Cuarta Disposición Complementaria Final es la incorporación de
la categoría de “operadores del sector privado involucrados en la lucha contra los delitos informáticos”.
Aunque la norma no determina quiénes son dichos operadores, la naturaleza del objeto del establecimiento
de la “cooperación efectiva” entre aquellos y la PNP, el Ministerio Público y el Poder Judicial (transmisión
de documentos, interceptación de comunicaciones, etc.), permite vislumbrar que, principalmente la
referencia está hecha hacia las empresas proveedoras de servicios de comunicaciones y telecomunicaciones.
No obstante ello, esta disposición queda abierta para que sea desarrollada por otros instrumentos normativos,
a fin de que, muy posiblemente, se concrete la incorporación de otros operadores del sector privado que
desarrollen actividades que guarden cercanía o vínculo con el objeto de la cooperación efectiva antes
mencionada. El origen de esta disposición se encuentra en el Proyecto 2520, presentado por el Ejecutivo.
Capacitación (Quinta DCF) Las instituciones públicas involucradas en la prevención y represión de los
delitos informáticos Especialmente la PNP, el Ministerio Público y el Poder Judicial Deben impartir cursos
de capacitación destinados a mejorar la formación profesional de su personal En el tratamiento de los delitos
previstos en la ley
Comentario Estos procesos de capacitación deben conllevar a la creación, adecuado equipamiento y
sostenimiento debidamente presupuestado de unidades especializadas en materia de ciberdelitos al interior
del Poder Judicial (juzgados y salas especializadas) y del Ministerio Público (fiscalías especializadas), así
como el potenciamiento de la unidad especializada de la Policía Nacional (DIVINDAT), en atención a las
condiciones particulares que la adecuada investigación y juzgamiento de ciberdelitos necesitan, sobre todo
en materia de conocimientos técnicos, no solamente jurídicos sino también informáticos. Asimismo, la
validación de los procedimientos de investigación, acopio de material probatorio y juzgamiento exige no solo
el empleo de herramientas tecnológicas de procedencia y posesión legal, sino también la certificación del
personal interviniente en cada una de las funciones que desarrollen a lo largo de todas estas actuaciones, a fin
de que la actividad de los operadores de justicia penal no pueda ser tachada de inválida o de insuficiente por
parte de la defensa legal de los ciberdelincuentes. Esta disposición proviene del Proyecto 2520, presentado a
iniciativa del Poder Ejecutivo.
Medidas de seguridad (Sexta DCF) La ONGEI, en coordinación con las instituciones del sector público
Promueve permanentemente El fortalecimiento de sus medidas de seguridad Para la protección de los datos
informáticos sensibles y la integridad de sus sistemas informáticos
Comentario Es importante que el Estado tome conciencia, de manera transversal y generalizada, acerca de la
necesidad de adoptar una cultura de ciberseguridad, que pase por la aplicación de medidas y criterios
vinculados a la seguridad informática y a la seguridad de la información. En este aspecto, la ONGEI tiene un
rol determinante en su condición de ente rector del Sistema Nacional de Informática, para mejorar los
servicios que el Estado brinda a los particulares, a través del adecuado uso de las tecnologías de la
información y de las comunicaciones en cada dependencia pública.
Buenas prácticas (Séptima DCF) El Estado peruano realizará acciones conjuntas con otros Estados A fin de
poner en marcha Acciones Medidas concretas Destinadas a combatir el fenómeno de los ataques masivos
contra las infraestructuras informáticas Y establecerá los mecanismos de prevención necesarios incluyendo
Respuestas coordinadas Intercambio de información Buenas prácticas
Comentario Esta disposición (que también proviene del Proyecto 2520 presentado por el Poder Ejecutivo),
tiene como objetivo hacer frente a uno de los fenómenos más nocivos que hoy en día afronta la
ciberseguridad: Los ciberataques con fines políticos o como instrumentos de guerra cibernética. La norma
pretende establecer coordinaciones con otros Estados para potenciar la inteligencia preventiva, la unión de
esfuerzos para afrontar las amenazas comunes y reforzar buenas prácticas de ciberseguridad nacional ante
ataques que pueden aprovechar debilidades o falencias para crear incomodidad (ataques de denegación de
servicio en los sistemas informáticos de las entidades públicas y privadas más importantes), así como
zozobra o desconcierto (ataques destinados a sabotear servicios públicos indispensables o esenciales).
Convenios multilaterales (Octava DCF) El Estado peruano promoverá La firma y ratificación de convenios
multilaterales Que garanticen la cooperación mutua con otros Estados Para la persecución de los delitos
informáticos
Comentario La Convención de Budapest de 2001 (Convention on Cybercrime – CETS 185) es un esfuerzo
del Consejo de Europa con el objeto de promover un estándar internacional universal para la tipificación de
delitos informáticos y para establecer procedimientos uniformes entre los Estados partes, que faciliten la
investigación de esta clase de delitos, la obtención de medios probatorios suficientes y el favorecimiento de
la actividad jurisdiccional, tanto en el plano nacional interno, como en la relación de cooperación
internacional de Estado a Estado. Por mandato de la ley que es objeto del presente análisis, el Perú expresa
su voluntad de adherirse a la Convención de Budapest, y asume el compromiso formal de participar
activamente en otros esfuerzos similares, como aquel que promueve el COMJIB (Conferencia de Ministros
de Justicia de Iberoamérica), que partiendo del estándar básico de la Convención de Budapest, busca
perfeccionar el estándar con la experiencia de los últimos doce años. Esta disposición tiene origen en el
Proyecto 2520 presentado a iniciativa del Poder Ejecutivo.
Terminología (Novena DCF) Sistema informático es Todo dispositivo aislado Conjunto de dispositivos
interconectados o relacionados entre sí Cuya función, o la de alguno de sus elementos sea El tratamiento
automatizado de datos En ejecución de un programa
Terminología (Novena DCF) Son Datos Informáticos Toda representación de hechos Información
Conceptos Expresados de cualquier forma que se preste a tratamiento informático Incluidos los programas
diseñados para que un sistema informático ejecute una función
Comentario Las dos definiciones contenidas en la Novena Disposición Complementaria Final son
exactamente iguales a las contenidas en los literales a y b del artículo 1 de la Convención de Budapest. Esta
identidad de definiciones obedece a la intención del legislador de concretar la estandarización de la
legislación penal peruana con los términos de la Convención de Budapest, en tanto que no solamente existe
la necesidad de homologar la tipificación de los delitos informáticos, sino también los conceptos que sirven
de base para la interpretación del sentido exacto de la norma. Esta es la base de la cooperación internacional
prevista en el texto de la Convención. Es fundamental, pues, que todos aquellos países que aspiran a
concretar su adhesión a este consenso internacional, adopten estas definiciones como parte de su
ordenamiento penal nacional.
Regulación e imposición de multas por la Superintendencia de Banca, Seguros y AFP (Décima DCF)
Características La SBS Establece escala de multas atendiendo en cada caso a Complejidad A las empresas
bajo su supervisión Que incumplan con la obligación de entregar información relacionada con el
levantamiento judicial del secreto bancario Circunstancias El juez pone en conocimiento de la SBS la
omisión incurrida por la empresa, en el término de 72 horas
Comentario Esta modificación completa el círculo de la facultad sancionadora que tiene el Estado, con la
sanción administrativa por el incumplimiento de las entidades del sistema financiero de la obligación de
entregar la información correspondiente a la orden judicial de levantamiento del secreto bancario, en tanto
que, si bien es cierto que el sistema judicial impone las medidas correctivas y las sanciones correspondientes
contra el incumplimiento de los mandatos judiciales, administrativamente no existe infracción ni sanción si
éstas no están previstas expresamente en la ley, tal como lo prescribe la Ley 27444. Este artículo sirve de
complemento a la modificación introducida al artículo 235 del Código Procesal Penal por la Tercera
Disposición Complementaria Modificatoria.
Regulación e imposición de multas por el Organismo Supervisor de Inversión Privada en
Telecomunicaciones (Undécima DCF)
El Organismo Supervisor de Inversión Privada en Telecomunicaciones establece las multas aplicables a las
empresas bajo su supervisión que incumplan con la obligación prevista en el numeral 4 del articulo 230 del
Código Procesal Penal, aprobado por Decreto Legislativo 957.Características Osiptel
Establece escala de multas atendiendo en cada caso a Complejidad A las empresas telefónicas y de
telecomunicaciones. Que incumplan con la obligación de posibilitar la diligencia judicial de intervención,
grabación o registro de las comunicaciones y telecomunicaciones Circunstancias El juez pone en
conocimiento de Osiptel la omisión incurrida por la empresa, en el término de 72 horas.
Las empresas de telecomunicaciones organizan sus recursos humanos y logísticos a fin de cumplir con
la debida diligencia y sin dilación la obligación prevista en el numeral 4 del artículo 230 del Código
Procesal Penal.
El juez, en el término de setenta y dos horas, pone en conocimiento del órgano supervisor la omisión
incurrida por la empresa a fin de que el Organismo Supervisor de Inversión Privada en
Telecomunicaciones aplique la multa correspondiente.

Establece escala de multas atendiendo en cada caso a complejidad a las empresas telefónicas y de
telecomunicaciones que incumplan con la obligación de posibilitar la diligencia judicial de intervención,
grabación o registro de las comunicaciones y telecomunicaciones. El juez pone en conocimiento de Osiptel
la omisión incurrida por la empresa, en el término de 72 horas.

Comentario Esta modificación completa el círculo de la facultad sancionadora que tiene el Estado, con la
sanción administrativa por el incumplimiento de las empresas prestadoras de servicios de comunicaciones y
telecomunicaciones de la obligación de posibilitar la diligencia judicial de intervención, grabación o registro
de las comunicaciones y telecomunicaciones, en tanto que, si bien es cierto que el sistema judicial impone las
medidas correctivas y las sanciones correspondientes contra el incumplimiento de los mandatos judiciales,
administrativamente no existe infracción ni sanción si éstas no están previstas expresamente en la ley, tal
como lo prescribe la Ley 27444. Este artículo sirve de complemento a la modificación introducida al artículo
230 del Código Procesal Penal por la Tercera Disposición Complementaria Modificatoria.
Disposiciones Complementarias Modificatorias
Modificación de la Ley 27697 (Primera DCM) Delitos informáticos Secuestro Trata de personas
Lavado de activos Artículo 1.- La presente ley tiene por finalidad desarrollar legislativamente la facultad
constitucional otorgada a los jueces para conocer y controlar las comunicaciones de las personas que son
materia de investigación preliminar o jurisdiccional Pornografía infantil Delitos tributarios y aduaneros Robo
agravado Solo podrá hacerse uso de la facultad prevista en la presente ley en los siguientes delitos
Terrorismo Extorsión Corrupción de funcionarios TID Peculado Atentados contra la seguridad nacional y
traición a la patria Delitos contra la humanidad Tráfico ilícito de migrantes
Comentario Es importante la inclusión de los delitos informáticos dentro del catálogo de delitos susceptibles
del ejercicio de la facultad judicial de conocimiento y control de las comunicaciones de las personas que son
materia de investigación preliminar o jurisdiccional. A partir de esta incorporación, la justicia pasa a tener
una herramienta necesaria e indispensable que ayudará a la obtención de material probatorio orientado tanto
al esclarecimiento de hechos delictivos vinculados a la comisión de delitos informáticos, como para la
correcta atribución de responsabilidades penales. Esta innovación legislativa tiene respaldo dentro del
estándar internacional, específicamente en el artículo 21 de la Convención de Budapest.
Modificación de la Ley 30077 – Ley contra el Crimen Organizado (Segunda DCM) Artículo 3. Delitos
comprendidos: La presente ley es aplicable a los siguientes delitos: (…) 9. Delitos informáticos, previstos en
la ley penal
Comentario La incorporación de los delitos informáticos dentro del ámbito legal de la lucha contra el
crimen organizado representa un avance importante en la consolidación de la posición decididamente
anticibercriminal que adopta el Perú, sobre todo si se toma en cuenta la naturaleza transfronteriza que tienen
no solamente las organizaciones cibercriminales, sino también sus acciones delictivas más comunes. A partir
de esta incorporación, los fiscales tienen a disposición nuevas herramientas legales que les permiten hacer
uso de ciertas facultades que facilitan la investigación de delitos informáticos cometidos por organizaciones
cibercriminales. No hay que olvidar que, en contraposición, las organizaciones cibercriminales hacen uso de
todos los recursos que tienen a la mano, sean éstos legales o no, para evitar o entorpecer el rastreo, detección
y desenmarañamiento de sus ilícitas acciones.
Modificación del Código Procesal Penal (Tercera DCM) Artículo 230. Intervención o grabación o registro
de comunicaciones telefónicas o de otras formas de comunicación. (…) 4. Los concesionarios de servicios
públicos de telecomunicaciones deben facilitar, en el plazo máximo de treinta días hábiles, la geo
localización de teléfonos móviles y la diligencia de intervención, grabación o registro de las comunicaciones,
así como la información sobre la identidad de los titulares del servicio, los números de registro del cliente, de
la línea telefónica y del equipo, del tráfico de llamadas y los números de protocolo de internet, que haya sido
dispuesta mediante resolución judicial, en tiempo real y en forma ininterrumpida, las veinticuatro horas de
los trescientos sesenta y cinco días del año, bajo apercibimiento de ser pasible de las responsabilidades de ley
en caso de incumplimiento. Los servidores de las indicadas empresas guardar secreto acerca de las mismas,
salvo que se le citare como testigo al procedimiento. El juez fija el plazo en atención a las características,
complejidad y circunstancias del caso en particular. Dichos concesionarios otorgarán el acceso, la
compatibilidad y conexión de su tecnología con el Sistema de Intervención y Control de las Comunicaciones
de la Policía Nacional del Perú. Asimismo, cuando por razones de innovación tecnológica los concesionarios
renueven sus equipos o software, se encontrarán obligados a mantener la compatibilidad con el Sistema de
Intervención y Control de las Comunicaciones de la Policía Nacional.
Comentario Esta modificación guarda compatibilidad con los artículos 17, 20 y 21 de la Convención de
Budapest. En efecto, el estándar internacional exige que los proveedores de servicios conserven los datos
relativos al tráfico y aseguren la revelación rápida de éstos a la autoridad competente (la Directiva
2006/24/CE exige que la conservación de datos de tráfico no sea menor a seis meses ni mayor a dos años).
Asimismo, exige a las autoridades nacionales, directamente o a través de los proveedores de servicios, que
obtengan o graben, en tiempo real, los datos relativos al tráfico, así como los datos relativos al contenido de
las comunicaciones transmitidas en su territorio por medio de un sistema informático, cuando estos datos
estén asociados a comunicaciones específicas. Sin embargo, el plazo máximo de treinta días hábiles que esta
modificación otorga a las empresas proveedoras para “facilitar” datos relacionados al tráfico y al contenido
de las comunicaciones, resulta excesivo y no se condice con el estándar internacional cuando exige la
“revelación rápida” de los datos de tráfico a la autoridad. Si bien es cierto que este plazo puede ser adecuado
por los jueces “en atención a las características, complejidad y circunstancias del caso en particular”, hay que
tener en cuenta que el máximo de treinta días resulta desproporcionado sobre todo si se tiene en cuenta que
las empresas proveedoras están obligadas a conservar permanentemente los datos relativos al tráfico. Como
ejemplo, podemos señalar que en España, la Ley 25/2007 establece un plazo, por defecto, de 72 horas.
Modificación del Código Procesal Penal (Tercera DCM) Artículo 235. Levantamiento del secreto
bancario (…) 5. Las empresas o entidades requeridas con la orden judicial deben proporcionar en el plazo
máximo de treinta días hábiles la información correspondiente o las actas y documentos, incluso su original,
si así se ordena, y todo otro vínculo al proceso que determine por razón de su actividad, bajo apercibimiento
de las responsabilidades establecidas en la ley. El juez fija el plazo en atención a las características,
complejidad y circunstancias del caso en particular.
Comentario La regulación de los plazos para la entrega de la información relacionada con el levantamiento
del secreto bancario no guarda relación directa alguna con la temática propia de los delitos informáticos. Por
lo tanto, consideramos que ésta no es la oportunidad más propicia de regular los plazos para la entrega de
información vinculada al levantamiento judicial del secreto bancario, más aún si no se tiene la opinión
especializada de la Superintendencia de Banca, Seguros y Administradoras de AFP.
Modificación del Código Procesal Penal (Tercera DCM) Artículo 473. Ámbito del proceso y competencia
Los delitos que pueden ser objeto de acuerdo, sin perjuicio de los que establezca la Ley, son los siguientes:
Asociación ilícita, terrorismo, lavado de activos, delitos informáticos, contra la humanidad; (…)
Comentario Dado que los delitos informáticos han sido incorporados dentro del ámbito de aplicación de las
normas especiales para el combate contra el crimen organizado, es vital establecer mecanismos eficaces para
el desmantelamiento de las organizaciones criminales. Uno de estos mecanismos es el de la colaboración
eficaz de informantes que hayan tenido un rol activo como autores, coautores o partícipes de un acto
delictivo, cuya planificación y ejecución haya estado bajo control de la organización criminal, a cambio de
los beneficios que se acuerden con el Ministerio Público, siempre que se cuente con la respectiva aprobación
judicial.
Modificación del Código Penal (Cuarta DCM) Artículo 162. Interferencia telefónica El que,
indebidamente, interfiere o escucha una conversación telefónica o similar, será reprimida con pena privativa
de libertad no menor de tres ni mayor de seis años. Si el agente es funcionario público, la pena privativa de
libertad será no menor de cuatro ni mayor de ocho años e inhabilitación conforme al artículo 36, incisos 1, 2
y 4. La pena privativa de libertad será no menor de cinco ni mayor de ocho años cuando el delito recaiga
sobre información clasificada como secreta, reservada o confidencial de conformidad con las normas de la
materia. La pena privativa de libertad será no menor de ocho ni mayor de diez años, cuando el delito
comprometa la defensa, seguridad o soberanía nacionales.
Comentario La duda que subsiste radica en que si este tipo penal se ocupa de las mismas conductas
antijurídicas que son materia del artículo 7. Si se entiende como “similares” a la conversación telefónica, a
aquellas conversaciones que emplean señales o archivos de audio que reproducen la voz humana, nos
estaremos refiriendo también, pues, a los chats de voz, a las conversaciones a través del servicio de Skype, al
intercambio de archivos de audio, etc. ¿No sería esto también interceptación de datos informáticos, si nos
atenemos a la definición establecida en la novena disposición complementaria y final? En todo caso, en
ambos supuestos las penas son exactamente las mismas, con idénticas circunstancias agravantes. Quizás se
pudo acumular las circunstancias que llevan a penalizar la interceptación de datos informáticos dentro del
tipo penal de la interceptación telefónica. No obstante, la opción que tomaron los legisladores que dio lugar a
la creación del tipo penal contenido en el artículo 7 conllevaba, forzosamente, a la homologación de la
tipificación de la interceptación telefónica, ya que, si bien es cierto que más allá de la “similitud” ya referida,
este delito no tiene que ser materia de tratamiento en una legislación especializada en delitos informáticos,
también lo es que si no se modificaba el artículo 162 del Código Penal, se habría dejado abierta una ventana
legal que favorecería injustificadamente al reo, en tanto que ante la existencia de una duda relacionada con la
aplicación de normas similares, tendría que preferirse la aplicación de aquella penalmente menos gravosa.
Modificación del Código Penal (Cuarta DCM) Artículo 183-A. Pornografía infantil El que posee,
promueve, fabrica, distribuye, exhibe, ofrece, comercializa o publica, importa o exporta por cualquier medio;
objetos, libros, escritos, imágenes, vídeos o audios, o realiza espectáculos en vivo de carácter pornográfico,
en los cuales se utilice a personas de catorce y menos de dieciocho años de edad, será sancionado con pena
privativa de libertad no menor de seis ni mayor de diez años y con ciento veinte a trescientos sesenta y cinco
días multa. La pena privativa de libertad será no menor de diez ni mayor de doce años y de cincuenta a
trescientos sesenta y cinco días multa cuando: El menor tenga menos de catorce años de edad. El material
pornográfico se difunda a través de las tecnologías de la información o de la comunicación. Si la víctima se
encuentra en alguna de las condiciones previstas en el último párrafo del artículo 173 o si el agente en
calidad de integrante de una organización dedicada a la pornografía infantil la pena privativa de libertad será
no menor de doce ni mayor de quince años. De ser el caso, el agente será inhabilitado conforme a los
numerales 1, 2 y 4 del artículo 36.
Comentario Se considera como un agravante el empleo de las tecnologías de la información y de las
comunicaciones. Hay que tener en cuenta que el delito de pornografía infantil, en su concepción básica ya se
encuentra sancionado con penas considerablemente elevadas (hasta diez años de pena privativa de la
libertad). Ante esto, no se afirma nada novedoso cuando se señala que el delito de pornografía infantil hoy en
día se comete casi exclusivamente a través de las tecnologías de la información y de las comunicaciones, por
lo que bien puede estar considerándose un agravante que en la realidad constituye la generalidad básica de
los casos y no una circunstancia que incremente particularmente el daño. Los legisladores siempre están ante
la posibilidad de optar; en este caso, se han inclinado por incorporar un agravante a mérito del uso de las
tecnologías de la información y de las comunicaciones, en vez de la elevación de la pena del tipo base (ya
bastante elevada, por cierto), si es que se considera que las penas no son lo suficientemente consecuentes con
la gravedad del daño producido.
Modificación del Código Penal (Cuarta DCM) Artículo 323. Discriminación El que, por sí o mediante
terceros, discrimina a una o más personas o grupo de personas, o incita o promueve en forma pública actos
discriminatorios, por motivo racial, religioso, sexual, de factor genético, filiación, edad, discapacidad,
idioma, identidad étnica y cultural, indumentaria, opinión pública o de cualquier índole, o condición
económica, con el objeto de anular o menoscabar el reconocimiento, goce o ejercicio de los derechos de la
persona, será reprimido con pena privativa de libertad no menor de dos años, ni mayor de tres o con
prestación de servicios a la comunidad de sesenta a cientos veinte jornadas. Si el agente es funcionario o
servidor público la pena será no menor de dos, ni mayor de cuatro años e inhabilitación conforme al numeral
2 del artículo 36. La misma pena privativa de libertad señalada en el párrafo anterior se impondrá si la
discriminación se ha materializado mediante actos de violencia física o mental, o si se realiza a través de las
tecnologías de la información o de la comunicación.
Comentario No queda claro si lo que se ha pretendido es tipificar las conductas establecidas en el Protocolo
adicional a la Convención de Budapest, o si simplemente se está constituyendo un agravante por el uso de las
Tecnologías de la Información y de las Comunicaciones. Dado que el Protocolo exige la inclusión específica
de las conductas discriminatorias por medio de sistemas informáticos en los tipos penales de los países que
son parte de la Convención de Budapest, entendemos que su incorporación como un agravante del tipo penal
base resulta siendo una decisión autónoma del legislador peruano, que si bien es cierto que no se aparta del
espíritu de la Convención de Budapest, creemos que el caso sí amerita una debida fundamentación para
justificar la creación de un agravante que incide directamente en la magnitud de la pena, por el mero hecho
de utilizar una tecnología disponible. Consideramos que para el exclusivo fin de adecuar la norma penal
peruana al estándar internacional, no había necesidad de hacer una mención expresa en el tipo penal del
delito de discriminación, ni tampoco incorporar un agravante. En todo caso, y en la medida que se hubiera
considerado estrictamente necesario, bastaba hacer una precisión en el tipo penal base para aludir a la
comisión del delito a través de cualquier medio de expresión oral, escrita, gestual o de cualquier otra índole,
quedando así incorporado forzosamente el uso de las tecnologías de la información y de las comunicaciones
para la comisión de este delito. Queda claro que es un grave error de análisis considerar que solo a partir de
esta modificación se sanciona penalmente la comisión de la conducta tipificada en el Art. 323 a través del
uso de las Tecnologías de la Información y de las Comunicaciones. La punibilidad de este acto preexiste a la
Ley 30096.
Disposición Complementaria Derogatoria
Derogatoria (Única DCD) Numeral 3 del segundo párrafo del Artículo 186 del Código Penal Artículo 207-A
del Código Penal Quedan derogados Artículo 207-B del Código Penal Artículo 207-C del Código Penal
Artículo 207-D del Código Penal
Comentario Estas disposiciones derogatorias eliminan el Capítulo X del Título V del Libro Segundo del
Código Penal, mediante el cual legislativamente se había optado por conceptualizar a los delitos informáticos
como agresiones al patrimonio, entendido éste como el bien jurídico protegido con la acción punitiva del
Estado frente a las conductas tipificadas. Evidentemente, esta legislación se encontraba en un plano
ideológico divergente de la estandarización universal, razón por la cual, era indispensable que una reforma
del modelo punitivo peruano frente a los delitos informáticos, que tiene por objetivo acercarse a este
estándar, corrija esta conceptualización que entorpecía la adhesión del Perú a la Convención de Budapest.
Por cierto, como ya se comentó anteriormente, el artículo 207-D del Código Penal, recientemente
incorporado a nuestra legislación por la Ley 30076, no pierde vigencia (pese a su derogatoria), ya que se ha
recogido íntegra y literalmente en el Artículo 6 de la ley que es objeto del presente análisis. Hay que llamar
la atención acerca del error que se ha cometido con la derogatoria del numeral 3 del segundo párrafo del
artículo 186 del Código Penal, toda vez que no hay razón ni motivo para eliminar de la relación de
agravantes del hurto agravado, a la comisión del delito sobre bienes de valor científico o que integren el
patrimonio cultural de la Nación. El numeral que debió derogarse es el 4, referido al hurto mediante la
utilización de sistemas de transferencia electrónica de fondos, de la telemática en general o la violación del
empleo de claves secretas, toda vez que estas conductas no solamente son jurídicamente imposibles, sino que
ya están sancionadas bajo el tipo penal del fraude informático (artículo 8).
CODIGO PENAL
Artículo 154-A. Tráfico ilegal de datos personales (INCORPORACIÓN)
El que ilegítimamente comercializa o vende información no pública relativa a cualquier ámbito de la esfera
personal, familiar, patrimonial, laboral, financiera u otro de naturaleza análoga sobre una persona natural,
será reprimido con pena privativa de libertad no menor de dos ni mayor de cinco años.
Si agente comete el delito como integrante de una organización criminal, la pena se incrementa hasta
en un tercio por encima del máximo legal previsto en el párrafo anterior.

Artículo 158. Ejercicio de la acción penal


Los delitos previstos en este Capítulo son perseguibles por acción privada, salvo en el caso del delito
previsto en el artículo 154-A.

Artículo 162. Interferencia telefónica


El que, indebidamente, interfiere o escucha una conversación telefónica o similar, será reprimido con pena
privativa de libertad no menor de tres ni mayor de seis años.
Si el agente es funcionario público, la pena privativa de libertad será no menor de cuatro ni mayor de ocho
años e inhabilitación conforme al articulo 36, incisos 1, 2 y 4.
La pena privativa de libertad será no menor de cinco ni mayor de ocho años cuando el delito recaiga sobre
información clasificada como secreta, reservada o confidencial de conformidad con la Ley de transparencia
y acceso a la información pública.
La pena privativa de libertad será no menor de ocho ni mayor de diez años, cuando el delito comprometa la
defensa, seguridad o soberanía nacionales.
Si el agente comete el delito como integrante de una organización criminal, la pena se incrementa hasta en un
tercio por encima del máximo legal previsto en los supuestos anteriores.

Artículo 183-B. Proposiciones sexuales a niños, niñas y adolescentes (INCORPORACIÓN)


El que contacta con un menor de catorce años para solicitar u obtener de él material pornográfico, o para
llevar a cabo actividades sexuales con él, será reprimido con una pena privativa de libertad no menor de
cuatro ni mayor de ocho años e inhabilitación conforme a los numerales 1, 2 y 4 del artículo 36.
Cuando la víctima tiene entre catorce y menos de dieciocho años de edad y medie engaño, la pena será no
menor de tres ni mayor de seis años e inhabilitación conforme a los numerales 1, 2 y 4 del artículo 36.

Artículo 323. Discriminación e incitación a la discriminación


El que, por si o mediante terceros, discrimina a una o más personas o grupo de personas, o incita o promueve
en forma pública actos discriminatorios, por motivo racial, religioso, sexual, de factor genético, filiación,
edad, discapacidad, idioma, identidad étnica y cultural, indumentaria, opinión política o de cualquier índole,
o condición económica, con el objeto de anular o menoscabar el reconocimiento, goce o ejercicio de los
derechos de la persona, será reprimido con pena privativa de libertad no menor de dos años, ni mayor de tres
o con prestación de servicios a la comunidad de sesenta a ciento veinte jornadas.
Si el agente es funcionario o servidor público la pena será no menor de dos, ni mayor de cuatro años e
inhabilitación conforme al numeral 2 del artículo 36.
La misma pena privativa de libertad señalada en el párrafo anterior se impondrá si la discriminación , la
incitación o promoción de actos discriminatorios se ha materializado mediante actos de violencia física o
mental o a través de internet u otro medio análogo.

CODIGO PROCESAL PENAL


Artículo 230. Intervención, grabación o registro de comunicaciones telefónicas o de otras formas de
comunicación y geolocalización de teléfonos móviles [ ... )
4. Los concesionarios de servicios públicos de telecomunicaciones deben facilitar, en forma inmediata, la
geolocalización de teléfonos móviles y la diligencia de intervención, grabación o registro de las
comunicaciones que haya sido dispuesta mediante resolución judicial, en tiempo real y en forma
ininterrumpida, las 24 horas de los 365 días del año, bajo apercibimiento de ser pasible de las
responsabilidades de ley en caso de incumplimiento. Los servidores de las indicadas empresas deben guardar
secreto acerca de las mismas, salvo que se les citare como testigo al procedimiento.
Dichos concesionarios otorgarán el acceso, la compatibilidad y conexión de su tecnología con el Sistema de
intervención y Control de las Comunicaciones de la Policía Nacional del Perú. Asimismo, cuando por
razones de innovación tecnológica los concesionarios renueven sus equipos y software, se encontrarán
obligados a mantener la compatibilidad con el Sistema de Intervención y Control de las Comunicaciones de
la Policía Nacional. [ ... )."
DISPOSICIÓN COMPLEMENTARIA DEROGATORIA
Artículo 6. Tráfico ilegal de datos (ARTÍCULO DEROGADO)*
El que, crea, ingresa, o utiliza indebidamente una base de datos sobre una persona natural o jurídica,
identificada o identificable, para comercializar, traficar, vender, promover, favorecer o facilitar información
relativa a cualquier ámbito de la esfera personal, familiar, patrimonial, laboral, financiera u otro de naturaleza
análoga, creando o no perjuicio, será reprimido con pena privativa de libertad no menor de tres ni mayor de
cinco años.
”El delito de tráfico ilegal de datos ha sido derogado de la Ley de Delitos Informáticos y ha sido recogido
con la incorporación del articulo 154-A del Código Penal con una redacción típica que cumple con el
contenido del principio de legalidad.

9. ¿Qué es un virus informático?

Un virus informático es un malware que tiene por objeto alterar el normal funcionamiento de la
computadora, sin el permiso o el conocimiento del usuario. Los virus, habitualmente, reemplazan archivos
ejecutables por otros infectados con el código de este. Los virus pueden destruir, de manera intencionada, los
datos almacenados en un ordenador, aunque también existen otros más inofensivos, que solo se caracterizan
por ser molestos.

10. ¿Qué funciones cumple?

Los virus informáticos tienen, básicamente, la función de propagarse a través de un software, no se replican a
sí mismos porque no tienen esa facultad como el gusano informático, son muy nocivos y algunos contienen
además una carga dañina (payload) con distintos objetivos, desde una simple broma hasta realizar daños
importantes en los sistemas, o bloquear las redes informáticas generando tráfico inútil. El funcionamiento de
un virus informático es conceptualmente simple. Se ejecuta un programa que está infectado, en la mayoría de
las ocasiones, por desconocimiento del usuario. El código del virus queda residente (alojado) en la memoria
RAM de la computadora, aun cuando el programa que lo contenía haya terminado de ejecutarse. El virus
toma entonces el control de los servicios básicos del sistema operativo, infectando, de manera posterior,
archivos ejecutables que sean llamados para su ejecución. Finalmente se añade el código del virus al
programa infectado y se graba en el disco, con lo cual el proceso de replicado se completa. Existen diversos
tipos de virus, varían según su función o la manera en que éste se ejecuta en nuestra computadora alterando
la actividad de la misma, entre los más comunes están:

Gusano: Es un malware que tiene la propiedad de duplicarse a sí mismo. Los gusanos utilizan las partes
automáticas de un sistema operativo que generalmente son invisibles al usuario. Los gusanos informáticos se
propagan de ordenador a ordenador, pero a diferencia de un virus, tiene la capacidad a propagarse sin la
ayuda de una persona. su capacidad para replicarse en tu sistema, por lo que tu ordenador podría enviar
cientos o miles de copias de sí mismo, creando un efecto devastador a gran escala. A diferencia de un virus,
un gusano no precisa alterar los archivos de programas, sino que reside en la memoria y se duplica a sí
mismo. Los gusanos casi siempre causan problemas en la red (aunque sea simplemente consumiendo ancho
de banda), mientras que los virus siempre infectan o corrompen los archivos de la computadora que atacan.
Troyano: Se denomina troyano o caballo de Troya a un software malicioso que se presenta al usuario como
un programa aparentemente legítimo e inofensivo, pero que, al ejecutarlo, le brinda a un atacante acceso
remoto al equipo infectado. Los troyanos pueden realizar diferentes tareas, pero, en la mayoría de los casos,
crean una puerta trasera que permite la administración remota a un usuario no autorizado. Un troyano no es
de por sí, un virus informático, aun cuando teóricamente pueda ser distribuido y funcionar como tal. La
diferencia fundamental entre un troyano y un virus consiste en su finalidad. Para que un programa sea un
"troyano" solo tiene que acceder y controlar la máquina anfitriona sin ser advertido, normalmente bajo una
apariencia inocua. Al contrario que un virus, que es un huésped destructivo, el troyano no necesariamente
provoca daños, porque no es ese su objetivo.
Bombas lógicas o de tiempo: Son programas que se activan al producirse un acontecimiento determinado.
La condición suele ser una fecha (Bombas de Tiempo), una combinación de teclas, o ciertas condiciones
técnicas (Bombas Lógicas). Si no se produce la condición permanece oculto al usuario.
Hoax: Los hoax no son virus ni tienen capacidad de reproducirse por si solos. Son mensajes de contenido
falso que incitan al usuario a hacer copias y enviarla a sus contactos. Suelen apelar a los sentimientos
morales ("Ayuda a un niño enfermo de cáncer") o al espíritu de solidaridad ("Aviso de un nuevo virus
peligrosísimo") y, en cualquier caso, tratan de aprovecharse de la falta de experiencia de los internautas
novatos.
Joke: Al igual de los hoax, no son virus, pero son molestos, un ejemplo: una página pornográfica que se
mueve de un lado a otro, y si se le llega a dar a errar es posible que salga una ventana que diga: OMFG!! No
se puede cerrar!

11. Antivirus.
Es un programa creado para prevenir o evitar la activación de los virus, así como su propagación y contagio.
Cuenta además con rutinas de detención, eliminación y reconstrucción de los archivos y las áreas infectadas
del sistema.

Un antivirus tiene tres principales funciones y componentes:


a) Vacuna, es un programa que instalado residente en la memoria, actúa como "filtro" de los programas que
son ejecutados, abiertos para ser leídos o copiados, en tiempo real.
b) Detector, que es el programa que examina todos los archivos existentes en el disco o a los que se les
indique en una determinada ruta o PATH. Tiene instrucciones de control y reconocimiento exacto de los
códigos virales que permiten capturar sus pares, debidamente registrados y en forma sumamente rápida
desarman su estructura.
c) Eliminador es el programa que una vez desactivada la estructura del virus procede a eliminarlo e
inmediatamente después a reparar o reconstruir los archivos y áreas afectadas.

Es importante aclarar que todo antivirus es un programa y que, como todo programa, sólo funcionará
correctamente si es adecuado y está bien configurado. Además, un antivirus es una herramienta para el
usuario y no sólo no será eficaz para el 100% de los casos, sino que nunca será una protección total ni
definitiva.
La función de un programa antivirus es detectar, de alguna manera, la presencia o el accionar de un virus
informático en una computadora. Este es el aspecto más importante de un antivirus, independientemente de
las prestaciones adicionales que pueda ofrecer, puesto que el hecho de detectar la posible presencia de un
virus informático, detener el trabajo y tomar las medidas necesarias, es suficiente para acotar un buen
porcentaje de los daños posibles. Adicionalmente, un antivirus puede dar la opción de erradicar un virus
informático de una entidad infectada.
El modelo más primario de las funciones de un programa antivirus es la detección de su presencia y, en lo
posible, su identificación. La primera técnica que se popularizó para la detección de virus informáticos, y que
todavía se sigue utilizando (aunque cada vez con menos eficiencia), es la técnica de scanning. Esta técnica
consiste en revisar el código de todos los archivos contenidos en la unidad de almacenamiento
-fundamentalmente los archivos ejecutables- en busca de pequeñas porciones de código que puedan
pertenecer a un virus informático. Este procedimiento, denominado escaneo, se realiza a partir de una base
de datos que contiene trozos de código representativos de cada virus conocido, agregando el empleo de
determinados algoritmos que agilizan los procesos de búsqueda.
La técnica de scanning fue bastante eficaz en los primeros tiempos de los virus informáticos, cuando había
pocos y su producción era pequeña. Este relativamente pequeño volumen de virus informáticos permitía que
los desarrolladores de antivirus escaneadores tuvieran tiempo de analizar el virus, extraer el pequeño trozo de
código que lo iba a identificar y agregarlo a la base de datos del programa para lanzar una nueva versión. Sin
embargo, la obsolescencia de este mecanismo de identificación como una solución antivirus completa se
encontró en su mismo modelo.
El primer punto grave de este sistema radica en que siempre brinda una solución a posteriori: es necesario
que un virus informático alcance un grado de dispersión considerable para que sea enviado (por usuarios
capacitados, especialistas o distribuidores del producto) a los desarrolladores de antivirus. Estos lo
analizarán, extraerán el trozo de código que lo identificará, y lo incluirán en la próxima versión de su
programa antivirus. Este proceso puede demorar meses a partir del momento en que el virus comienza a
tener una dispersión considerable, lapso en el cual puede causar graves daños sin que pueda ser identificado.
Además, este modelo consiste en una sucesión infinita de soluciones parciales y momentáneas (cuya
sumatoria jamás constituirá una solución definitiva), que deben actualizarse periódicamente debido a la
aparición de nuevos virus.
En síntesis, la técnica de scanning es altamente ineficiente, pero se sigue utilizando debido a que permite
identificar rápidamente la presencia de los virus más conocidos y, como son estos los de mayor dispersión,
permite una importante gama de posibilidades. Un ejemplo típico de un antivirus de esta clase es el Viruscan
de McAfee.

12. El Espionaje Informático (industrial o comercial)

Debe entenderse como "la obtención, con ánimo de lucro y sin autorización además de valor para el tráfico
económico de la industria o comercio", surge allí una seria dificultad para el legislador ante la variedad de
comportamientos que encajan en él.
Las "Llaves Maestras" (Superzapping), es el uso no autorizado de programas con la finalidad de modificar,
destruir, copiar, insertar, utilizar o impedir el uso de datos archivados en los sistemas de información, su
denominación se debe a un programa denominado "superzap", que a modo de "llave maestra" permite
ingresar a cualquier archivo, así se encuentre reservado.

El pinchado de líneas (Wiretapping), modalidad que consiste en la interferencia en líneas telefónicas o


telemáticas, mediante las cuales se transmiten las informaciones procesadas.

13. Informática, intimidad y protección de Bases de datos

A los tiempos actuales se le ha llamado la sociedad de la información por el vertiginoso desarrollo científico
y tecnológico que implica el avance de la informática en las diversas esferas del quehacer político,
económico y social a escala mundial y es entendida como la disciplina o actividad que consiste en el
tratamiento o procesamiento de la información por medio de máquinas ordenadoras electrónicas tendientes a
la obtención de nueva información; cuyo uso inadecuado y sin control puede volverse en contra del mismo
hombre creador de la tecnología, invadiendo las esferas más íntimas de su vida privada.
Los usos y costumbres sociales se han visto afectados por este desarrollo vertiginoso de las tecnologías de la
información originándose situaciones de hecho y jurídicas nuevas que la legislación no ha previsto; estando a
que la información en esta nueva sociedad y economía informática cumple un papel fundamental en tanto el
ciudadano, la empresa privada o entidad pública que no obtenga la información necesaria para desarrollarse
en sus actividades sociales y económicas o para realizar sus funciones no podrá acondicionarse a la nueva
sociedad y economía de la información; no podrá participar de las ventajas y oportunidades que brinda el
estar oportunamente informados; desmejorando su calidad de vida o su función.

DERECHO A LA INFORMACION:
Este derecho a la información se encuentra consagrado constitucionalmente en el inciso 4 del artículo 2 de la
Constitución que señala que toda persona tiene derecho a la libertad de información, opinión y libre difusión
del pensamiento mediante la palabra oral o escrita o la imagen por cualquier medio de comunicación social,
sin previa autorización ni impedimento alguno, bajo las responsabilidades de ley.
El derecho a la libertad de información previsto como derecho fundamental en la constitución como en los
Tratados internacionales de derechos humanos, como son el Pacto internacional de Derechos civiles y
políticos y la Convención Americana de Derechos Humanos se considera que tiene dos aspectos claros: la
libertad de informar y la de ser informado y se vulnera este derecho tanto cuando se impide que una persona
trasmita información así como también cuando se le impide que obtenga información; que es justamente de
aplicación para el internet, dado que en este medio de comunicación se tiene recíprocamente un emisor o
transmitente de mensajes y un receptor de los mensajes y a la inversa; considerándose que la persona que
trasmite el mensaje no puede ser impedida; en tanto se rige por el principio de la no censura previa y el
receptor tiene derecho a obtener el mensaje.
En todo caso si los mensajes o el uso del sistema de internet atentara o vulnerará derechos de las personas
como su intimidad personal o familiar, su honor, buena reputación, imagen debe estar sujeto a
responsabilidad ulterior tal como lo dispone el inciso 4 del artículo 2 de la Constitución; que puede ser de
carácter civil o penal conforme al análisis del Código Civil o penal.
Sin embargo este derecho a la libertad de información, específicamente en el aspecto referido a obtener
información, no es absoluto al permitirse excepciones que resultan del mismo texto constitucional en su
inciso 5 del artículo 2 que establece que el derecho a solicitar información tiene como límite las
informaciones referidas a la intimidad personal y las que expresamente se excluyan por ley, como son el
secreto bancario y la reserva tributaria, ambas reguladas por la Ley General de Instituciones Bancarias y el
Código Tributario respectivamente; y por razones de seguridad nacional.
El derecho a la información que implica la libertad de informar y el de acceder a información se entiende
como las facultad de las personas de trasmitir conocimientos y de obtenerlos constituye una especie del
genero del derecho a la libertad de expresión por el cual se manifiestan o difunden ideas, opiniones ,
comunicaciones , textos, conocimientos en cualquiera de las modalidades: escrita, oral o imagen a través de
cualquier medio de comunicación; que incluye el internet que es un mecanismo electrónico de transmisión de
datos a través de la red de computadoras, como medio de comunicación universalmente reconocido; de tal
forma que el derecho a la libertad de información es considerada como una valiosa garantía constitucional;
sin embargo no es un derecho absoluto como la mayoría de las constituciones del mundo lo consideran; al
deberse respetar aspectos morales y normas de orden público en protección de otros derechos de las personas
también importantes, como la intimidad.
El derecho a la información entonces conlleva la posibilidad de toda persona de expresar sus ideas,
opiniones, conocimientos; así como el derecho de recibir información de otras personas y a su vez de reunir
la información; por lo que comúnmente ha sido confundido con el derecho la libertad de expresión; por ello
la información tiene dos vertientes o dos aspectos distinguibles: por un lado, el brindar información, que
cuando es exteriorizada se manifiesta como libertad de expresión y la otra vertiente es la recibir información
que se configura como un derecho vital para el desarrollo de los seres humanos; en tanto es un requisito para
lograr el libre desenvolvimiento de la personalidad ; porque no existe persona que se pueda desarrollar sino
está bien y oportunamente informado, que justamente es una posibilidad que da el acceso a internet.
Los adelantos tecnológicos han conllevado a que el hombre pueda ampliar sus conocimientos; dado los
medios de comunicación másiva como periódicos, revistas, televisión y fundamentalmente la informática a
través de la internet; en donde los medios de comunicación anteriormente mencionados ya están utilizando
la red de internet para su difusión o trasmitir su señal; y eso no es todo, porque las computadoras no sólo
reciben, almacenan y trasmiten información dado que por su tratamiento o sistematización también producen
nueva información.
Con el desarrollo de la informática y de las computadoras se produce la automatización y liberación de la
información, sobrepasando la imaginación del ser humano; en tanto la computadora recibe, trasmite y
produce información y porque no se requiere de soporte material que contenga la información, la que puede
permanecer en la memoria de la computadora y ser trasmitida inmaterialmente; generando una revolución
cultural que unifica a la humanidad a través de la circulación de la información; que beneficia a quienes
dominen la técnica de la informática que los haga poseer la información y acceder a los bancos de datos; en
tanto las personas a lo largo de su vida va generando información o datos, como cónsumos en tiendas o
restaurantes utilizando tarjetas de crédito, viajes al exterior, registro en hoteles, créditos bancarios,
movimientos de cuentas, inscripción en asociaciones, pertenencia a centros laborales, etc; los que si son
recopilados pueden vislumbrar un perfil de comportamiento de cualquier individuo, interfiriéndose en la vida
privada o distorsionándose la personalidad de los individuos.
DERECHO A LA INTIMIDAD
En este desarrollo vertiginoso de la tecnología e informática que implica la posibilidad de obtener
información así como de difundirla también se advierte el peligro de ciertos aspectos existenciales o de la
personalidad humana generados por el avance de la tecnología de la información como es la vida privada;
dado que cuando los actos del ser humano, sus convicciones, opiniones, creencias son captados, almacenados
y ordenados mediante las computadoras u ordenadores, la libertad de los seres humanos disminuye al ser
capturado como un elemento más de la sociedad de la información; haciéndolo carecer de individualidad e
identidad personal; de allí la necesidad de contar derecho de la Tecnologías de la Informática en
Comunicaciones que regule la libertad de información como factor indispensable para el desarrollo del
individuo y la sociedad y que manifieste sus límites para defender los márgenes de privacidad necesarios
para el normal desarrollo de la personalidad humana.
Esta situación ha generado el surgimiento de un nuevo derecho a la libertad informática que implica tanto el
derecho del individuo a negarse a brindar información sobre si mismo y el derecho a pretender información
concernida a su persona o personalidad; en suma controlar la identidad personal informática a través del
consentimiento para preservar, acceder, o rectificar datos informativos referidos a la vida privada de las
persona.
En ésta perspectiva de la libertad informática, el derecho a la intimidad cobra una dimensión mayor al buscar
garantizar la intrusión no consentida sobre aspectos de la vida que uno reserva para sí y la información sobre
la misma y que además debe proteger el desarrollo de la libertad personal.
La regulación de las nuevas tecnologías de la información y la comunicación en sí conlleva a la necesidad de
reflexionar sobre la función del derecho para proteger la intimidad o vida privada así como la identidad de
las personas, como garantía de un desarrollo libre y digno de la personalidad; estando al conflicto
permanente entre el derecho a la información en su aspecto de libertad de información y el derecho a la vida
privada o intimidad, último derecho que con el desarrollo de la informática se ha considerado que su
protección se constituye como garantía de la libertad personal, al entendérsele tanto como la no intrusión o
no divulgación de aspecto referidos a nuestra esfera personal o familiar así como el derecho a obtener,
modificar o rectificar información referida a nuestras personas; para poder tomar las decisiones más
importantes para nuestra existencia y tener una vida tranquila sin trastornos de la personalidad o de la
identidad.
Ocurre que las personas en su vida cotidiana generan diferentes datos o información como sus viajes al
interior o exterior, el uso de la tarjeta de crédito, movimientos de cuentas bancarias, Declaraciones Juradas
ante instituciones públicas, solicitudes de ingreso o de trabajo ante instituciones públicas o privadas, los que
ordenados y sistematizados por la computadora permiten obtener un perfil de comportamiento de la persona
que vulnera la intimidad y la libertad de los individuos.
El derecho a la intimidad se constituye en una garantía de la libertad personal, dado que si la información
personal o familiar es distorsionada, se divulga sin responsabilidad o se produce una intromisión no
consentida se produce un recorte o captura de la libertad, ya que tales actos no permiten que las personas
adopten las decisiones de su existencia en forma libre y autónoma, sin estar afectado por la vulneración de su
intimidad.
Este derecho ha venido desarrollándose de tal forma que en nuestros días se perfila con una nueva
concepción que afirma a la privacidad como presupuesto para el ejercicio de otros derechos también
fundamentales como la libertad de pensamiento, libertad de culto y un conjunto de derechos sociales como
salud, costumbres, hábitos sexuales, ideas políticas, fe religiosa y aspectos sociales y económicos; lo que
hace ver el cambio del concepto de la intimidad con el desarrollo tecnológico de los sistemas informáticos;
ya que anteriormente se definía como el derecho a ser dejado a solas o a la no intromisión en los personales o
familiares de un individuo sin su autorización; ahora se concibe como el derecho del individuo a decidir si
desea compartir sus pensamientos, sentimientos y los hechos de su vida personal o familiar por el acceso no
autorizado a bases de datos que contengan información reservada.
De esta forma se pueden considerar hasta cuatro aspectos que abarcan la protección del derecho de la
intimidad frente al desarrollo de la informática:

a) Apropiación del nombre o imagen de una persona en provecho propio: Las bases de datos pueden
contener un retrato o fotografía de las personas; que utilizada sin autorización puede implicar una falsa
percepción por la imagen proyectada sobre ella.
b) Intrusión en la intimidad o en los asuntos privados de una persona: Se refiere a toda forma de
recolección de datos que implicará una indagación precisa y ofensiva de los aspectos personales y
familiares de una persona.
c) Revelación Pública de la información privada: El desarrollo de los registros informáticos y las bases
de datos con la creación de redes nacionales e internacionales de trasmisión de datos constituye una
amenaza a que la información privada se filtre y sea conocida por el público
d) Publicidad que genera una falsa percepción del público: Se presenta en los casos en que una persona
se considera ofendida por haberse difundido información errónea sobre ella; cuando la información
difundida sea correcta pero ha sido utilizada fuera del contexto adecuado ocasionando una falsa
percepción y que la información se a inexacta por su antigüedad sin haber sido actualizada o rectificada.

En este contexto el derecho a la intimidad se constituye por aquellos comportamientos, datos y situaciones
que usualmente están fuera del conocimiento de extraños y si personas ajenas tienen acceso pueden turbar
moral o emocionalmente a una persona; salvo que preste su autorización o por razones prevalecientes de
interés público.
Finalmente el T.C., en su sentencia 292 / 2000, de 30 de Noviembre de 2000, ha reconocido la existencia de
un nuevo derecho fundamental: el derecho a la protección de datos, que es distinto del derecho a la
intimidad.
Este derecho lo define como el poder de control de la persona sobre sus datos personales, sobre su uso
y destino. Es un poder de disposición permanente sobre todos los datos relacionados con la persona, que
deben ser protegidos en su ejercicio, de forma que cualquier persona tenga capacidad de control sobre los
mismos y sepa, en todo momento, quiénes tienen sus datos, con qué finalidades y pueda negarse a facilitarlos
o bien modificarlos, pues de los contrario, este nuevo derecho quedaría vacío de contenido. El derecho a la
intimidad personal y familiar y el derecho a la protección de datos<, aún siendo distintos tienen una
base común: la dignidad de la persona humana y los derechos inviolables que le son inherentes.
En la protección de datos se parte de la base de lo que se protege es la persona, auténtico titular de los
datos, sobre el que el titular tiene derecho a ejercer un control y poder decidir cuándo, dónde, cómo y por
quién es tratado, en lo que se ha dado en llamar derecho a la autodeterminación informativa (Miguel
Ángel Davara).

Ley de Protección de Datos Personales – Ley Nº 29733 y su Reglamento.

En el Perú la ley de protección de datos personales ya fue aprobada y promulgada, esto nos permite estar a la
par de Argentina, Chile, Colombia y México que tienen leyes vigentes y que encuentran en su utilización un
mecanismo para el desarrollo de sociedad de la información.
La ley es un notable avance de las tendencias en materia de protección de datos personales, pero además
también consensua los esfuerzos por una norma moderna, que permita el desarrollo de la industria de TICs y
de servicios como los call centers (que generan decenas de miles de puestos de empleo). Asimismo, la norma
tiene relevancia en la medida que es un instrumento para que se tenga control sobre nuestros datos
personales, pero también es un instrumento de directa acción contra cualquier régimen autoritario,
permitiendo una adecuada protección de las personas, de sus creencias, de sus datos de salud, de fe, de
opción sexual, de filiación sindical, de filiación política. No contar con esta ley de protección de datos
personales es desproteger a todos, siendo que “listas Tascon” pudieran aparecer para segregar o controlar a
determinados grupos, por su fe, su creencia política, su opción sexual, su filiación sindical, entre otros.
La norma está dada, tenemos temas que perfeccionar, como toda norma, sin embargo serán los temas ligados
al régimen de sanciones y a la actividad de la autoridad administrativa los que deberán tenerse en especial
consideración al realizar el reglamento. Y desde ya el tema que debe considerar la Autoridad como primera
acción es el Registro de las Bases de Datos conjuntamente con una acción sumamente agresiva, en alianzas
público-privadas para divulgación, desarrollo de capacidades y concientización de la población en materia de
protección de datos personales.
La democracia en el Perú exigió, demandó, requirió, la promulgación de la ley de protección de datos
personales, hemos batallado muchísimo en este camino y no debemos perder la oportunidad histórica de
protegernos de cualquier forma de autoritarismo público o privado.

Autoridad Nacional de Protección de Datos Personales


La Dirección General de Protección de Datos Personales es un órgano que depende jerárquicamente del
Despacho Viceministerial de Derechos Humanos y Acceso a la Justicia. Le corresponde realizar todas las
acciones necesarias para el cumplimiento del objeto y demás disposiciones de la Ley de Protección de Datos
Personales – Ley Nº 29733 y su Reglamento.
La presente Ley tiene el objeto de garantizar el derecho fundamental a la protección de los datos personales,
previsto en el artículo 2 numeral 6 de la Constitución Política del Perú, a través de su adecuado tratamiento,
en un marco de respeto de los demás derechos fundamentales que en ella se reconocen.
La presente Ley es de aplicación a los datos personales contenidos o destinados a ser contenidos en bancos
de datos personales de administración pública y de administración privada, cuyo tratamiento se realiza en el
territorio nacional. Son objeto de especial protección los datos sensibles.

1. A los contenidos o destinados a ser contenidos en bancos de datos personales creados por personas
naturales para fines exclusivamente relacionados con su vida privada o familiar.
2. A los contenidos o destinados a ser contenidos en bancos de datos de administración pública, solo en
tanto su tratamiento resulte necesario para el estricto cumplimiento de las competencias asignadas por
ley a las respectivas entidades públicas, para la defensa nacional, seguridad pública, y para el desarrollo
de actividades en materia penal para la investigación y represión del delito.

Das könnte Ihnen auch gefallen