• Author / Uploaded
• Cesar Rodriguez

• Categories
• Delito informático
• Derecho penal
• Internet
• Tecnología de información y comunicaciones
• Informática

Citation preview

ESCUELA MILITAR DE INGENIERÍA “Mcal. Antonio José de Sucre” LA PAZ - BOLIVIA

INGENIERÍA LEGAL

DELITOS INFORMÁTICOS

CASO DE ESTUDIO: ROBÓ DATOS DE MILLONES DE TARJETAS DE CRÉDITO

CAP. INF. CRISTIAN MAURICIO ALTAMIRANO MARTINEZ EST. BALBOA FLORES LUIS ENRIQUE EST. CESAR MAURICIO RODRIGUEZ PAUCARA

LA PAZ, 2018

ÍNDICE CAPITULO 1: GENERALIDADES ...............................................................................1 1.1

INTRODUCCIÓN. ............................................................................................1

1.2

ANTECEDENTES............................................................................................1

1.2.1

Artículo 363 bis (MANIPULACIÓN INFORMÁTICA). .......................................2

1.2.2

Articulo 363 ter (ALTERACIÓN ACCESO O USO INDEBIDO DE DATOS INFORMÁTICOS). ...........................................................................................2

1.3

PLANTEAMIENTO DEL PROBLEMA..............................................................2

1.3.1

Problema Principal...........................................................................................2

1.3.2

Problemas Secundarios. ..................................................................................3

1.4

OBJETIVO. ......................................................................................................3

1.4.1

Objetivo General. .............................................................................................3

1.4.2

Objetivos Específicos. .....................................................................................3

1.5

LIMITES, ALCANCES Y APORTES. ...............................................................4

1.5.1

Limites. ............................................................................................................4

1.5.2

Alcances. .........................................................................................................4

CAPITULO 2:

MARCO TEORICO ..................................................................5

2.1

EVOLUCIÓN DE LOS DELITOS INFORMÁTICOS. ...................................... 15

2.2

DELITO INFORMÁTICO EN LA DOCTRINA. ................................................ 18

2.3

CARACTERES .............................................................................................. 19

2.4

TIPOS DE DELITOS INFORMÁTICOS ......................................................... 20

2.5

DELITOS INFORMÁTICOS ........................................................................... 24

2.6

SUJETOS Y RELACIONES QUE SURGEN DEL DELITO INFORMÁTICO .. 26

2.6.1

Sujeto Activo .................................................................................................. 26

2.6.2

Sujeto Pasivo ................................................................................................. 27

2.7

PERFIL CRIMINOLÓGICO ............................................................................ 28

CAPITULO 3.

MARCO PRACTICO ........................................................ 30

CASO DE DELITO INFORMÁTICO .......................................................................... 30 ANÁLISIS DEL CASO SEGÚN LEGISLACIÓN......................................................... 31

3.2.1

Identificación de Caracteres de delito Informático ........................................ 31

3.2.2

Clasificación De Delito Informático ............................................................... 33

3.2.3

Sanciones Bajo Normativa Boliviana ............................................................ 34

ANEXOS

CAPITULO 1: GENERALIDADES

1.1

INTRODUCCIÓN.

En los últimos años especialmente a raíz del desarrollo tecnológico a nivel mundial se presentaron cambios trascendentales. Ya que existe muchos riesgos de que las redes informáticas y la información electrónica sean usadas para cometer delitos y de que las pruebas relativas a dichos delitos sean almacenadas y transmitidas por medio de dichas redes. “El delito informático en forma típica y atípica, entendiendo por las conductas típicas, antijurídicas y culpables en que se tienen de forma típica las computadoras como instrumento o fin y por la forma atípica se entiende por delito informático a todas aquellas actitudes ilícitas en que se tienen a las computadoras como instrumento o fin.”

En los tiempos actuales se evidencia la necesidad de estudiar nuevas Tecnologías que van surgiendo periódicamente. Internet es el gran espacio mundial, un espacio virtual, donde se pueden; ofrecer nuestros productos, nuestros servicios, y por tanto es un gran centro comercial, abierto interrumpidamente, es decir sin limitación. La Falsificación Informática es uno de los delitos informáticos con mayor auge en el mundo y consiste en, la introducción, alteración, borrado o supresión de datos informáticos que dé lugar a datos no auténticos, con la intención de que sean tenidos en cuenta o utilizados a efectos legales, como si se tratara de datos auténticos, con independencia de que los datos sean o no directamente legibles o inteligibles.

1.2

ANTECEDENTES.

En Bolivia, actualmente en nuestra legislación penal vigente existe tan solo dos artículos referentes a los delitos informáticos los cuales son aplicables de manera ambigua a los delitos cometidos por los delincuentes informáticos, en tal sentido genera la necesidad de tipificar nuevos delitos informáticos, conductas antijurídicas, como la falsificación informática, ya que hay muchas conductas que implican 1

responsabilidad para aquellos que lo cometen y es claro que en nuestro Estado existen dos artículos dentro de nuestra legislación penal, el cual hace referencia al mal uso de la Internet, el cual dispone de esta forma:

1.2.1

Artículo 363 bis (MANIPULACIÓN INFORMÁTICA).

El que con la intención de obtener beneficio indebido para sí o para un tercero manipule un procesamiento o transferencia de datos informáticos que conduzcan a un resultado incorrecto o evite un proceso tal cuyo resultado habría sido correcto ocasionando de esta manera una transferencia patrimonial en prejuicio de tercero será sancionado con reclusión de uno a cinco años y con una multa de sesenta a doscientos días.

1.2.2

Articulo 363 ter (ALTERACIÓN ACCESO O USO INDEBIDO DE DATOS INFORMÁTICOS).

El que sin estar autorizado se apoderare, acceda, utilice, modifique suprima o inutilice datos almacenados en una computadora o en cualquier soporte informático ocasionando perjuicio al titular de la información será sancionado con prestación de trabajo hasta 1 año o multa hasta doscientos días.

1.3

PLANTEAMIENTO DEL PROBLEMA.

Existe la necesidad de prevenir y sancionar estos malos usos de la tecnología, de tal forma que se sancione la falsificación informática, ya que cada día aparecen nuevos métodos de vulneración de los sistemas informáticos.

1.3.1

Problema Principal.

¿Qué razones explican los problemas que tiene con la necesidad de incorporar el tipo penal de Falsificación Informática en el Código Penal?

2

1.3.2

Problemas Secundarios.

Los problemas secundarios son: 

¿Cuál la naturaleza jurídica del Delito Informático?



¿Cuáles las características origen y evolución del delito informático?



¿Es viable la incorporación de la falsificación informática en el Código Penal?

1.4

OBJETIVO.

Al identificar cuáles son los problemas por encarar por el presente trabajo se establece una propuesta de solución a la problemática, los objetivos son los siguientes:

1.4.1

Objetivo General.

Establecer la necesidad de incorporar en el Código Penal el tipo penal de la falsificación informática, para tal efecto identificar su naturaleza y fundamento jurídico para proponer recomendaciones que determinen una norma eficaz.

1.4.2

Objetivos Específicos.



Describir características origen, concepto y evolución de los Delitos Informáticos.



Analizar la teoría del delito sus caracteres y componentes con relación a los delitos informáticos.



Determinar específicamente la legislación penal vigente acerca de delitos informáticos.



Describir el concepto y la clasificación de la falsificación informática. 3

1.5

LIMITES, ALCANCES Y APORTES.

En los siguientes puntos se muestran los Limites, Alcances y Aportes que sustentan el presente trabajo de grado.

1.5.1

Limites.

La investigación se circunscribe al análisis jurídico, dogmático y de derecho comparado de la figura del delito de falsificación informática abarcando el área del Derecho Penal y el área del Derecho Informático.

1.5.2

Alcances.

Los Alcances por ser un trabajo escolástico están dados por lo investigado y desarrollado en clases.

4

CAPITULO 2: MARCO TEORICO

2.1

EVOLUCIÓN DE LOS DELITOS INFORMÁTICOS.

Nuestro país de una economía basada principalmente en la industria petrolera, minera y agrícola, con una área industrial muy reducida en comparación con otros países, concentra un significativo sector de la población dedicado a la administración del estado; que necesariamente debe estar capacitado en el manejo de ordenadores o computadoras, ya que la informática se constituye en una herramienta imprescindible en la actualidad para el correcto y eficaz funcionamiento tanto de las instituciones estatales como de las instituciones privadas “Los avances de las tecnologías de la información, comunicaciones y el crecimiento de las operaciones comerciales mediante un medio electrónico han propiciado el surgimiento de nuevas conductas fraudulentas relacionadas con el uso de instrumentos electrónicos.”

Sin embargo, el uso de la informática en nuestro país no es privativo, debido a la baja de ordenadores y de procesadores coloca a grupos importantes de nuestra población a estar en contacto con la tecnología generando diferentes actividades, así como redes sociales, correo electrónico e incluso juegos electrónicos. Las medidas del estado como la entrega gratuita de ordenadores a bachilleres de nuestro país, la instalación de 2000 antenas Wi Fi, en el área rural para internet, así como telefonía móvil sumándose también la compra del satélite TUPAC KATARI, así como el crecimiento de nuestras empresas de telefonía las cuales están en constante actualización de tecnología, por estos motivos es necesario la necesidad de contar con una ley específica acerca de delitos informáticos la cual este acorde con el desarrollo de la tecnología.

En nuestro país los delitos informáticos no solo están ligados con las instituciones, sino que están ligados también con el desarrollo de la población y en sí de la sociedad ya que, al desarrollo de las tecnologías, nuestra sociedad se encuentra vulnerable ante

15

nuevas formas de delitos cometidos mediante ordenadores, cajeros automáticos tarjetas de crédito etc. “Los primeros estudios empíricos sobre el delito informático fueron realizados a mediados de la década de 1970, si bien estos estudios sacaron a la luz un limitado número de delitos, simultáneamente indicaron fuertemente que un gran número de estos delitos permanecían sin descubrirse o sin denunciarse. La perspectiva publica y científica acerca de los delitos informáticos cambio radicalmente en los ochenta, una amplia ola de piratería de programas, manipulación de cajeros automáticos y abusos de las telecomunicaciones revelo la vulnerabilidad de la sociedad de la información y la necesidad de nuevas estrategias de control de estos delitos.”

Creemos que, en la actualidad, es innegable la existencia de delitos cometidos mediante el uso de instrumentos informáticos... “más aún, mediante el análisis de las normativas existentes en el derecho comparado,” de donde surge la necesidad de estructurar un nuevo bien jurídico digno de tutela jurídica penal, que entendemos y sostenemos que se trata de la información en todas sus etapas, la cual conlleva en sí un valor, ya sea económico, ideal o de empresa como veremos más adelante, que es relevante y digno de tutela jurídico penal.

El delito informático implica actividades criminales que los países han tratado de encuadrar en figuras típicas de carácter tradicional, tales como robos, hurtos, fraudes, falsificaciones, perjuicios, estafas, sabotajes. Sin embargo, debe destacarse que el uso de las técnicas informáticas ha creado nuevas posibilidades del uso indebido de las computadoras lo que ha creado la necesidad de regulación por parte del derecho. Este tipo de delitos son considerados un aspecto negativo del desarrollo de la informática y se producen debido a las posibilidades que las computadoras ofrecen para infringir la ley. “En este contexto, aparecen conductas que vulneran bienes jurídicos no convencionales, o comportamientos que se realizan empleando medios no

16

convencionales para lesionar bienes jurídicos convencionales.” La regulación jurídica de la criminalidad por o contra el ordenador presenta determinadas peculiaridades debidas al propio carácter innovador que las tecnologías de la información y la comunicación presentan. Son evidentes e indiscutibles los beneficios de la informática en la comunidad. Empero, los aspectos negativos comprenden inimaginables formas de cometer delitos. En el plano jurídico - penal, la criminalidad informática puede suponer una nueva versión de delitos tradicionales o la aparición de nuevos delitos impensables antes del descubrimiento de las nuevas tecnologías.

Así, como las nuevas tecnologías nos traen destacables ventajas, es importante responder eficientemente a la necesidad de regular las conductas que pueden derivarse del uso indebido de las tecnologías siendo de esta forma el uso indebido de ordenadores, de tarjetas de crédito y débito.

A los efectos de lograr un mayor abundamiento en la investigación a desarrollar, como también una clara y ordenada explicación de esta, tomaremos distintos parámetros para elaborar un esquema acerca de la evolución de los delitos informáticos: 

“En los años 1970 y siguientes fueron los europeos los primeros países en tomar conciencia de los avances de la informática, los cuales generarían mayores peligros, con relación al bien jurídicamente protegido, en los años setenta se referían al ámbito de la intimidad.”



Entre 1970 y 1980, se comenzó a regular el tratamiento de datos personales mediante ordenadores, tanto en Suecia, Alemania, así como también en EE.UU. Comienza así, la inclusión de diversas normas penales en los ordenamientos europeos a los efectos de proteger la privacidad y la confidencialidad, sin embargo, en los años ochenta a delitos se desarrollaron delitos informáticos de contenido económico y se resguardaba la propiedad intelectual de los programas.

17



A partir de 1980 comienza un proceso legislativo originado en Estados Unidos luego se extendió a Europa como reacción de la legislación tradicional que solo protegía los bienes materiales. Se legisla sobre protección de bienes intangibles dinero electrónico, soportes informáticos, etc.



En los años 1980 y 1990 por su importancia económica, se incluye a los programas informáticos, como obras protegidas por el Derecho de Autor. Los separa en otra sección, distinguiéndolos en protección para semiconductores, y para las bases de datos y los secretos comerciales.



A partir de 1986 en diversos países se van desarrollando Reformas en el Derecho Penal para combatir esta nueva forma de delitos generando seguridad y derecho.



En los años noventa al desarrollo de nuevos paradigmas reguladores del derecho a la información.

2.2

DELITO INFORMÁTICO EN LA DOCTRINA.

En ocasiones las referencias a los hechos delictivos relacionados con la informática se realizan mediante la expresión o denominación de delito informático expresión que posee cierto atractivo por su simplicidad, “por responder a la terminología anglosajona computer crime en realidad se trata de un concepto ambiguo que ni posee ningún sentido estricto con ninguna categoría jurídico penal con un exclusivo hecho punible de los previsto en el Código Penal.” “En países de nuestro entorno socio - cultural hace ya tiempo que el delito informático está tipificado y como tal incluido en diferentes Códigos y norma de su ordenamiento.” El área informática dentro de la Doctrina sostiene que, no pueden penalizarse conductas que atenten contra supuestos bienes jurídicos que no se encuentran protegidos, y que no habiendo ley que tipifique una conducta delictiva relacionada con la informática como bien jurídico específico, no existe delito ni pena para dichas conductas. Existen otras posturas que entienden que debe existir algún tipo de 18

protección contra dichas conductas, o más bien, una ampliación en la interpretación sobre ciertas conductas antijurídicas ya tipificadas, en base a las nuevas modalidades perpetradas utilizando sistemas tecnológicos avanzados como los sistemas informáticos o telemáticos en la actualidad, es innegable la existencia de delitos cometidos mediante el uso de sistemas informáticos. Más aún, mediante el análisis de las normativas existentes en el derecho comparado, de donde surge la necesidad de estructurar un nuevo bien jurídico digno de tutela jurídica penal, que entendemos y sostenemos que se trata de la información en todas sus etapas, la cual conlleva en sí un valor, ya sea económico, ideal o de empresa.

2.3

CARACTERES

Pasemos ahora a definir los caracteres del delito informático. A nuestro entender, quién mejor los establece es el jurista mexicano Julio Téllez Valdéz quién desarrolla en forma específica las siguientes características:

1)

Son conductas criminales de cuello blanco, porque sólo un determinado número de personas con ciertos conocimientos técnicos puede llegar a cometerlas.

2)

Son acciones ocupacionales, porque en muchas veces se realizan cuando el sujeto se halla trabajando.

3)

Son acciones de oportunidad, porque se aprovecha una ocasión creada o altamente intensificada en el mundo de funciones y organizaciones del sistema tecnológico y económico.

4)

Provocan serias pérdidas económicas.

5)

Ofrecen posibilidades de tiempo y espacio, ya que en milésimas de segundo y sin una necesaria presencia física pueden llegar a consumarse.

6)

Son muchos los casos y pocas las denuncias, y todo ello debido a la misma falta de regulación por parte del Derecho. 19

7)

Son muy sofisticados.

8)

Presentan grandes dificultades para su comprobación, esto por su mismo carácter técnico.

9)

En su mayoría son imprudencias y no necesariamente se cometen con intención.

10) Ofrecen facilidades para su comisión los menores de edad.

11) Tienden a proliferar cada vez más, por lo que requieren una urgente regulación.

2.4

TIPOS DE DELITOS INFORMÁTICOS

La siguiente tabla esquematiza los principales tipos de delitos informáticos la cual muestra un panorama de la siguiente manera:

Manipulación de los datos de entrada – insiders

Robos hurtos, vaciamientos, desfalcos estafas o fraudes cometidos mediante manipulación y uso de computadoras

La manipulación de programas

Manipulación de los datos de salida – outsiders

Fraudes contra

Fraude efectuado por 20

fraude informático conocido también como sustracción de datos, representa el delito informático más común ya que es fácil de cometer y difícil de descubrir. Consiste en modificar los programas existentes en el sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Ej: Caballo de Troya. Es el fraude de que se hace objeto a los cajeros automáticos mediante la falsificación de instrucciones para la computadora en la fase de adquisición de datos. aprovecha las

sistemas, daños o modificaciones de programas o datos computarizados.

Falsificaciones informáticas.

manipulación informática

repeticiones automáticas de los procesos de cómputo. Es una técnica especializada que se denomina "técnica del salami" en la que cantidades de dinero muy pequeñas, se van sacando repetidamente de una cuenta y se transfieren a otra. Consiste en borrar, suprimir o modificar sin autorización funciones o datos de computadora con intención de Sabotaje informático obstaculizar el funcionamiento normal del sistema. Ejemplos. virus, gusanos, rutinas cáncer, bomba lógica. Motivos diferentes curiosidades, (Hacker) hasta el sabotaje o espionaje informáticos Acceso no autorizado a son ingresos no sistemas y servicios. autorizados comprometen la integridad y la confidencialidad de los datos. Es la obtención de información para ser utilizada posteriormente Espionaje – Acceso normalmente para la telemático no autorizado a obtención de beneficios un sistema - Hackers – económicos Ejemplos Fuga de datos. Puertas falsas, pinchado de líneas, llave maestra (Supperzapping). Ley Nº 17.616 promulgada el 13 de Reproducción no enero de 2003 Ley de autorizada de programas Protección del Derecho informáticos piraterías. de Autor y Derechos Conexos, la cual modifica el texto de la ley 9.739.

21

Datos personales delito de violación a la intimidad.

Homicidio

Interceptación de comunicaciones (browsing)

Robo de servicios

Hurto calificado por transacciones

Cuando se alteran datos de los documentos almacenados en forma computarizada. Pueden falsificarse o adulterarse Como objeto también microformas, micro duplicados y microcopias esto puede llevarse a cabo en el proceso de copiado o en cualquier otro momento. Las computadoras pueden utilizarse también para efectuar Como instrumentos falsificaciones de documentos de uso comercial. Violación de la intimidad Las fotocopiadoras de la vida personal y computarizadas en color a familiar ya sea base de rayos láser observando escuchando o dieron lugar a nuevas registrando hechos falsificaciones. palabras, escritos o imágenes, valiéndose de instrumentos procesos técnicos u otros medios. Un paciente que está recibiendo un determinado tratamiento, Es posible cometer se modifican las homicidio por instrucciones en la computadora. computadora que puede hacerse incluso desde una terminar remota. Mediante la conexión en paralelo de terminales no autorizados se puede acceder a datos e incluso manipular la información Los empleados utilizan en una empresa horas de Robo de servicios o Hurto maquina sin autorización de tiempo de ordenador para realizar trabajos personales. Apropiación de Apropiación de informaciones residuales. informaciones que han 22

electrónicas de fondo.

Parasitismo informático.

Delitos de daño aplicable al hardware

Este es el caso del hurto que se comete mediante la utilización de sistemas de transferencia electrónica de fondos de la telemática en general, o también cuando se viola el empleo de claves secretas. El robo de un establecimiento comercial de una o varias computadoras no constituye un delito informático, pero si el daño o sabotaje al hardware que combate la puesta en marcha de un Sistema informatizado de diagnóstico médico. Puede darse un atentado contra la maquina o sus accesorios (discos, cintas terminales etc.)

sido abandonadas por sus legítimos usuarios de servicios informáticos como residuo de determinadas operaciones. Se alude a las conductas que tiene por objeto el acceso ilícito a los equipos físicos o a los programas informáticos, para utilizarlos en beneficio del delincuente. Un ejemplo es el referente al uso ilícito de tarjetas de crédito

FUENTE: Viega María José 182 a 186

23

2.5

DELITOS INFORMÁTICOS

Así, como las nuevas tecnologías nos traen destacables ventajas, es importante responder eficientemente a la necesidad de regular las conductas que pueden derivarse de su uso indebido. Los delitos informáticos son considerados un aspecto negativo del desarrollo de la informática y se producen debido a las posibilidades que las computadoras ofrecen para infringir la ley. En este contexto, aparecen conductas que vulneran bienes jurídicos no convencionales, o comportamientos que se realizan empleando medios no convencionales para lesionar bienes jurídicos convencionales. Empero, los aspectos negativos comprenden inimaginables formas de cometer delitos. En el plano jurídico penal, la criminalidad informática puede suponer una nueva versión de delitos tradicionales o la aparición de nuevos delitos impensables antes del descubrimiento de las nuevas tecnologías. Por tratarse de un sector sometido a constantes fluctuaciones e innovaciones tecnológicas, sus categorías son asimismo efímeras y cambiantes. Además, los delitos informáticos se caracterizan por las dificultades que entraña descubrirla, probarla y perseguirla, a ello se añade la facilidad de penetrar en los sistemas informáticos. 

Concepto de Delitos Informáticos.

Es necesario realizar un concepto sobre los llamados delitos informáticos. Al respecto, se han formulado en doctrina diferentes denominaciones para indicar las conductas ilícitas en las que se usa la computadora. Existe diferentes conceptos acerca de los delitos informáticos, a continuación, citaremos algunos autores que se refieren a los delitos informáticos de la siguiente manera: “Jimena Leyva define a los delitos informáticos como: toda acción típica antijurídica y culpable para cuya consumación se usa la tecnología computacional o se afecta a la información contenida en un sistema de tratamiento automatizado de la misma.” Miguel Ángel Davara Rodríguez señala que … “la realización de una acción que,

24

reuniendo las características que delimitan el concepto de delito, sea llevada a cabo utilizando un elemento informático y/o telemático, o vulnerando los derechos del titular de un elemento informático, ya sea hardware o software”

El Convenio de Ciberde lincuencia del Consejo de Europa de 23 de noviembre del 2001 llevado a cabo en Budapest, define los delitos informáticos como … “actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, así como el abuso de dichos sistemas, medios y datos.” Las Naciones Unidas, conceptualiza a los delitos informáticos como “todos los delitos cometidos por medio de tecnologías de información; en contra de cualquiera de sus componentes o los que fueren cometidos por medio de tecnologías de información.” Julio Téllez Valdés conceptualiza … “delito informático de forma típica y atípica, entendiendo a la primera como las conductas típicas, antijurídicas y culpables, en las que se tienen a las computadoras como instrumento o fin y a las segundas actitudes ilícitas en que se tienen a las computadoras como instrumento o fin.” Ricardo M. Matta y Martin define al delito informático como “toda acción dolosa que provoca un perjuicio a personas o entidades, en cuya comisión intervienen dispositivos habitualmente utilizados en las actividades informáticas.”

Los delitos informáticos en sentido estricto vendrían a ser todo comportamiento ilícito que en su realización hace uso de la tecnología electrónica ya sea como método, medio o fin, para llevar a cabo actos ilícitos, esta es una visión limitada porque existen muchos delitos que no pueden tipificarse con las leyes vigentes y, ante la ausencia de una normatividad acorde, se habla de lagunas o de falta de regulación.

25

2.6

SUJETOS Y RELACIONES QUE SURGEN DEL DELITO INFORMÁTICO

2.6.1

Sujeto Activo

“El sujeto activo de los delitos informáticos, puede ser cualquier persona abarca tanto a particulares como funcionarios públicos.” El sujeto activo simplemente encuentra la manera de ingresar a la información o contenido del área protegida en si ingresa a los sistemas operativos como un intruso, vulnerar sistemas de seguridad es un reto personal en si el sujeto activo de los delitos informáticos tiene habilidades específicas para el manejo de los sistemas informáticos. “Es evidente que el nivel de aptitudes del delincuente informático es hoy un tema de controversia, ya que, para algunos estudiosos del tema, dicho nivel no es indicador de delincuencia informática, en tanto que otros aducen que los posibles delincuentes informáticos son personas listas, decididas, motivadas y dispuestas a aceptar un reto tecnológico, características que pueden encontrarse en un empleado del sector de procesamiento de datos de cualquier organización”.

Los sujetos activos de los delitos informáticos tienen las siguientes características:

a)

Poseen importantes conocimientos de informática.

b)

Ocupan lugares estratégicos en su trabajo, en los cuales se maneja información de carácter sensible se los denomina delitos ocupacionales ya que se cometen por la ocupación que se tiene y el acceso al sistema.

c)

A pesar de las características anteriores debemos tener presente que puede tratarse de personas muy diferentes. No es lo mismo el joven que entra a un sistema informático por curiosidad, por investigar o con la motivación de violar un sistema de seguridad como desafío personal, que el empleado de una institución financiera que desvía fondos de la cuenta de los clientes.

26

d)

Las opiniones en cuanto a la tipología del delincuente informático se encuentran divididas, ya que algunos dicen que el nivel educacional a nivel informático no es indicativo, mientras que otros aducen que son personas inteligentes, motivadas y dispuestas a aceptar el desafío tecnológico.

e)

Estos delitos se han calificado de cuello blanco, porque el sujeto que comete el delito es una persona de cierto estatus socioeconómico.”

Al desarrollar todas estas características, es evidente que el sujeto activo de los delitos informáticos son personas que conocen los sistemas operativos, así como conocen como vulnerar dichos sistemas y usar de manera ilícita la información ya se información personal de algún usuario o información institucional de empresas públicas o privadas. “Es de destacar que la cifra negra de delitos informáticos es muy alta. No es fácil descubrirlos ni sancionarlos. Los daños económicos son altísimos. Se habla de pérdidas anuales por los delitos informáticos y otros tecno crímenes que van de ser los U$S 100 millones hasta la suma de U$S 5.000 millones, estos datos de acuerdo con un estudio realizado a finales de los años 1990 hecho por una firma auditora.”

2.6.2

Sujeto Pasivo

“El sujeto pasivo son aquellos sobre los que recae la acción u omisión que realiza el sujeto activo.” en realidad el sujeto pasivo es la víctima del delito es el sujeto en el cual recae la acción u omisión que realiza el sujeto activo, las víctimas pueden ser individuos, instituciones crediticias, instituciones militares, gobiernos, instituciones bancarias etc., que usan sistemas automatizados de información, generalmente conectados a internet. “En el caso el sujeto pasivo es el titular del sistema u ordenador intrusado incluso muchas veces a los proveedores de servicios públicos, sistemas financieros y casos hay de algún servicio de inteligencia de una gran potencia.” 27

El sujeto pasivo puede ser desde una familia, individuos, empresas grandes y pequeñas, instituciones públicas privadas, instituciones bancarias, gobiernos, que utilizan sistemas automatizados de información, los cuales, por lo general se encuentran conectados a internet. La condición relevante a cumplir por el sujeto pasivo es la de poseer información en formato digital y almacenada en un medio informático pueden ser datos, programas, documentos electrónicos, dinero electrónico, información, etc., y que se encuentra en contacto directo con la tecnología, específicamente con las redes de Internet.

2.7

PERFIL CRIMINOLÓGICO

“Las tecnologías de la información han facilitado la aparición de nuevas conductas que con independencia del mayor o menor reproche social generado, han obligado a los países avanzados a adaptar sus legislaciones para dar cabida a modalidades comisivas que no existían hace unos años.”

Existen diferentes tipos de perfil de delincuentes informáticos y se clasifican de la siguiente manera:

a)

Hacker Persona que disfruta explorando detalles de los sistemas programables y aprendiendo a usarlos al máximo, al contrario del operador común, que en general, se conforma con aprender lo básico actúa por curiosidad.… “Con el termino hacking nos referimos a la técnica consistente en acceder a un sistema informático sin autorización. Entendemos que existe autorización cuando el sistema está conectado a una red pública y no dispone de un control de acceso mediante el uso de identificadores de usuario y password accediendo a información confidencial del usuario.”

b)

Cracker Aquel que rompe con la seguridad de un sistema, hablar de… “craks nos referimos a los programas o rutinas que permiten utilizar o inutilizar los

28

sistemas de protección establecidos por el titular de los derechos de propiedad intelectual sobre una aplicación informática.” c)

Preaker Es aquella persona que intercepta la red telefónica para obtener beneficios personales, “preacking entraría en las técnicas de fraude en materia telefónica analógica y digital.”

d)

Phisher… “es aquella persona que se hace pasar por una persona o empresa de confianza en una aparente comunicación oficial electrónica, por lo común un correo electrónico, o algún sistema de mensajería instantánea o incluso utilizando también llamadas telefónicas.”

Habiendo expuesto el concepto de delito informático, y debido a no extendernos en temas que serán tratados en otros puntos de la presente investigación, pasaremos a desarrollar la teoría del delito con relación a los delitos informáticos.

29

CAPITULO 3. MARCO PRACTICO

CASO DE DELITO INFORMÁTICO

Un joven estadounidense acusado de haber pirateado millones de tarjetas de crédito ha sido condenado a 20 años de prisión por un tribunal federal de Boston (Massachusetts). Albert González, de 28 años, hijo de cubanos afincado en Miami (Florida), que se había declarado culpable en septiembre del 2010, se enfrentaba a entre 17 y 25 años de cárcel.

El joven 'cracker' (término que alude a los 'hackers' o piratas informáticos malintencionados) ha sido inculpado por complot, fraude informático y robo de identidad. También se lo acusa por otros casos de pirateo relacionados con una cadena de restaurantes de Nueva Jersey. En total, habría robado los datos de más de 130 millones de tarjetas bancarias desde 2006.

Antes de escuchar el veredicto, el acusado ha tomado la palabra. "Soy culpable. Mi curiosidad y mi subyugación [a la informática] me han llevado a traicionar a mis padres y a utilizar su casa", ha dicho. "Querría pedir perdón e indulgencia", añadió.

El fiscal Stephen Heymann ha rechazado el argumento de la defensa que afirmaba que el acusado sufría síndrome de Asperger, una forma de autismo. "Los expertos no han encontrado señal de Asperger", ha añadido. "Su conducta compulsiva no tiene nada que ver con un problema mental. Se trata de un gran plan a largo plazo", ha subrayado. "Este caso es completamente aparte, se trata de un fraude y usurpación de identidad que ha causado inmensas pérdidas a un número muy importante de personas", ha dicho.

A comienzos de 2006, el 'cracker' y sus cómplices (dos personas de nacionalidad rusa) "inventaron un medio sofisticado" para infiltrarse en las redes de los supermercados y organismos financieros para robar las coordenadas bancarias de sus clientes.

30

A continuación, las enviaban a servidores que operaban en varios estados estadounidenses, así como a los Países Bajos y Ucrania. Los piratas informáticos habían encontrado el modo de borrar su rastro en los sistemas informáticos pirateados. Los piratas utilizaban una técnica que permite acceder a las redes informáticas deseadas sorteando el cortafuego. Durante el proceso, González ha aceptado devolver a sus víctimas —mediante la confiscación de bienes— lo robado, "más de 2,7 millones de dólares" que había utilizado para comprar un apartamento en Miami, un BMW, un solitario comprado en la joyería Tiffany y varios Rolez. Asimismo, ha reunido un millón de dólares en efectivo que había enterrado en el jardín de sus padres.

ANÁLISIS DEL CASO SEGÚN LEGISLACIÓN

A continuación, se mencionarán los principales detalles del caso, realizar un análisis al análisis del contenido y los alcances de la legislación penal vigente del estado boliviano con relación a los delitos informáticos, Finalmente llegaremos a una conclusión relativa sobre la misma.

3.2.1

Identificación de Caracteres de delito Informático

Basándonos en el marco teórico, es oportuno identificar los caracteres del delito informático según Julio Téllez Valdez, así mismo su correspondiente análisis con el caso

Nº

CARACTERÍSTICAS

ANÁLISIS

Son conductas criminales de cuello blanco, González y sus cómplices usaron un 1

porque sólo un determinado número de método de infiltración de código SQL, personas

con

ciertos

conocimientos utilizado para abrir la puerta trasera de

técnicos puede llegar a cometerlas. 2

varios sistemas corporativos

Son acciones ocupacionales, porque en En este caso no aplica, debido que

31

muchas veces se realizan cuando el sujeto Gonzalez no era trabajador de los se halla trabajando.

bancos

a

donde

pertenecían

las

cuentas Son acciones de oportunidad, porque se aprovecha una ocasión creada o altamente 3

intensificada en el mundo de funciones y organizaciones del sistema tecnológico y económico.

Gonzalez

era

un

prometedor

intermediario de shadowcrew.com, un ciberbazar de programas piratas que se expandió a principios del año 2000 durante el boom del comercio en Internet. González fue condenado a abonar más de 1,65 millones de dólares, un condominio en Miami, un automóvil

4

Provocan serias pérdidas económicas.

BMW 330i azul 2006, ordenadores portátiles IBM y Toshiba, un arma de fuego Glock 27, un teléfono móvil Nokia, un anillo de diamantes de Tiffany y tres relojes Rolex. González y sus socios detectaron importantes vulnerabilidades en las

Ofrecen posibilidades de tiempo y espacio, 5

ya que en milésimas de segundo y sin una necesaria presencia física pueden llegar a consumarse.

redes

Wifi

utilizadas

por

estos

comercios. Provistos de portátiles y antenas de radio de gran alcance, aparcaban sus coches o furgonetas en los parkings de las grandes tiendas de ordenadores para detectar las redes wifi de las empresas más vulnerables Los fraudes con tarjetas estaban aumentando de forma exponencial

Son muchos los casos y pocas las generando pérdidas multimillonarias. 6

denuncias, y todo ello debido a la misma Policías de diferentes países trataban falta de regulación por parte del Derecho.

de poner freno a este delito pero era muy complicado, implicaba a muchos países, con diferentes legislaciones.

7

Son muy sofisticados.

Primero debían piratear la red wifi,

32

luego, navegando dentro del sistema, capturaban nombres de usuario y claves de acceso, lo que les permitía entrar

en

la

red;

posteriormente

atacaban los servidores de la central y localizaron los servidores que alojaban las operaciones con antiguas tarjetas de las tiendas. Probablemente el nombre de Albert Presentan grandes dificultades para su Gonzalez no sería conocido de no ser 8

comprobación, esto por su mismo carácter por mostrar una conducta irregular en técnico.

un cajero para un policía durante una operación de autos robados

FUENTE: Elaboración Propia Basado en Viega María José 182 a 186

3.2.2

Clasificación De Delito Informático

Una vez identificados estos criterios, podemos clasificar el delito informático en la categoría de “Falsificaciones informáticas”, que contempla los espionajes, acceso telemático no autorizado a un sistema, hackers y la fuga de datos que es la obtención de información para ser utilizada posteriormente normalmente para la obtención de beneficios económicos Ejemplos Puertas falsas, pinchado de líneas, llave maestra, etc.

Particularmente en nuestro caso, Gonzalez accedía a los sistemas de empresas de comercio como ser TJX, en parte porque almacenaban antiguas transacciones, pero se dio cuenta de que muchas de las tarjetas estaban caducadas. Necesitaba encontrar una manera de conseguir los números de tarjetas justo después de que los clientes las hubieran utilizado. Era posible. Consiguió averiguar cómo meterse en los terminales punto de venta de las tiendas y en los datáfonos de los supermercados, de

33

las gasolineras, de los almacenes o de cualquier otro comercio donde se pudiera comprar algo.

Los datos de tarjetas que se vendían eran de dos tipos: datos de la tarjeta junto a su nº PIN (esta información era la más cara y difícil de conseguir ya que permitía a los criminales, una vez volcados los datos en una tarjeta virgen, sacar dinero en efectivo de cualquier cajero del mundo); el otro tipo de información que vendían eran los datos de la tarjeta sin nº PIN, con esta información no se puede sacar dinero de un cajero pero se pueden hacer compras en establecimiento una vez que se falsifique una tarjeta.

3.2.3

Sanciones Bajo Normativa Boliviana

Apropiándonos del caso y a su vez planteando como entorno el estado de Bolivia, de haberse realizado el delito bajo la legislación penal vigente la sentencia estaría dictaminada por el Artículo 363 bis (MANIPULACIÓN INFORMÁTICA), que indica que aquel que con la intención de obtener beneficio indebido para sí o para un tercero manipule un procesamiento o transferencia de datos informáticos que conduzcan a un resultado incorrecto o evite un proceso tal cuyo resultado habría sido correcto ocasionando de esta manera una transferencia patrimonial en prejuicio de tercero será sancionado con reclusión de uno a cinco años y con una multa de sesenta a doscientos días y el Articulo 363 (ALTERACIÓN ACCESO O USO INDEBIDO DE DATOS INFORMÁTICOS). El que sin estar autorizado se apoderare, acceda, utilice, modifique suprima o inutilice datos almacenados en una computadora o en cualquier soporte informático ocasionando perjuicio al titular de la información será sancionado con prestación de trabajo hasta 1 año o multa hasta doscientos días.

En esta parte del artículo 363 bis y ter de nuestra actual legislación penal, señala de manera amplia y ambigua varios tipos penales los cuales incluso tendrían sanciones, sin embargo, haciendo un análisis del artículo, no establece claramente el tipo penal el cual se adecuaría, no es fácil para el legislador aplicar este articulo ya que señala

34

de forma ambigua varias situaciones ni señala el bien jurídico que resguardaría, es inminente la necesidad de incorporar nuevos tipos penales los cuales estén ampliamente desarrollados en nuestro código penal.

En este sentido, la informática puede ser el objeto del ataque o el medio para cometer otros delitos. La importancia reciente de los sistemas de datos, por su gran incidencia en la marcha de las empresas, tanto públicas como privadas, los ha transformado en un objeto, cuyo ataque provoca un perjuicio enorme, que va mucho más allá del valor material de los objetos destruidos.

Al respecto, existen dos grandes grupos de valores merecedores de amparo específico por la legislación penal boliviana. Por una parte, la criminalidad informática puede afectar a bienes jurídicos tradicionalmente protegidos por el ordenamiento penal, tal el caso de delitos en los que se utiliza la computadora para redactar una carta difamando a personas físicas o jurídicas, o atentar contra la integridad personal, la fe pública o la seguridad nacional.

En otros casos las conductas del agente van dirigidas a lesionar Bienes no protegidos tradicionalmente por la legislación penal, tal el caso de los Bienes Informáticos, consistentes en datos, información computarizada, archivos y programas insertos en el soporte lógico del ordenador, como la falsificación informática, el fraude electrónico y el sabotaje informático.

35

36

ANEXOS

CASO COMPLETO DE DELITO INFORMÁTICO Una noche de julio de 2003, cerca de la medianoche, un agente del departamento de policía de Nueva York que investigaba una serie de robos de coches en un distrito de Manhattan siguió a un hombre joven con aspecto sospechoso hasta un cajero situado a la entrada de un banco. El agente observó cómo el hombre sacaba una tarjeta de crédito de su bolsillo y retiraba cientos de dólares en efectivo. Después sacó otra tarjeta y realizó la misma operación. Y otra vez. Y una vez más. El tipo no estaba robando coches, pero el policía se imaginó que estaba robando algo.

El joven estaba en efecto realizando una operación de "retirada de efectivo", tal como más tarde admitiría. Había programado un montón de tarjetas de crédito sin datos con números de tarjetas robados y estaba sacando todo el dinero que podía de cada cuenta. Lo había hecho unos minutos antes de las 12 de la noche, hora límite diaria para retirar dinero y el momento en que el cajero puede dar el doble de dinero con otra retirada en efectivo unos minutos más tarde. El policía le preguntó su nombre y aunque el hombre tenía varios alias en Internet, le dio el suyo verdadero, Albert Gonzalez.

Albert Gonzalez fue detenido y rápidamente conducido hasta la oficina del fiscal de Nueva Jersey en Newark, quien, junto con agentes del destacamento oficial de delitos informáticos del FBI, estaba investigando sin mucho éxito el fraude de tarjetas de crédito y débito en los cajeros automáticos de la zona. Gonzalez fue interrogado y pronto se descubrió que era un tipo peculiar. No solamente poseía los datos de millones de cuentas de tarjetas almacenados en el ordenador de su apartamento en Nueva Jersey, sino que además tenía un truco para explicar online su experiencia como defraudador de tarjetas de crédito.

Tal como descubrirían los agentes del orden público, Gonzalez era un prometedor intermediario de shadowcrew.com, un ciberbazar de programas piratas que se expandió a principios del año 2000 durante el boom del comercio en Internet. Shadowcrew tenía cientos de miembros en Estados Unidos, Europa y Asia. Según me

explicó un fiscal federal, era "una especie de eBay, monster.com y MySpace, pero dedicada al delito informático".

Tras un par de interrogatorios, Gonzalez aceptó ayudar al Gobierno y así evitar un proceso judicial. "Tenía 22 años y estaba asustado", me comentó más tarde. Gonzalez se convirtió en el confidente de delitos informáticos más valioso que el Gobierno de EE UU haya tenido jamás. Su ayuda permitió a la policía acusar a más de una docena de miembros de Shadowcrew, por lo que los agentes asignados a Gonzalez, empleados del FBI, le convencieron para que por su propia seguridad se trasladara a vivir a Miami, su ciudad natal. Después de prestar su ayuda en otra investigación, a principios de 2006 se convirtió en un confidente a sueldo del FBI en Miami. El hombre del FBI que mejor llegó a conocer a Gonzalez, el agente Michael (apodo de su verdadero nombre), fue trasladado a Miami y trabajó con Gonzalez en una serie de investigaciones en las que realizaron un trabajo tan extraordinario que la agencia le pidió que participara en seminarios y conferencias. "Parecía que estaba intentando hacer lo correcto", comentaba Michael.

Y sin embargo no era así. Durante los muchos años que trabajó para el Gobierno, Gonzalez, su banda de hackers y otros seguidores tuvieron acceso aproximadamente a 180 millones de cuentas de tarjetas de pago que estaban guardadas en la base de datos de clientes de algunas de las empresas norteamericanas más conocidas.

En la sentencia dictada el pasado marzo en la que fue condenado a dos penas simultáneas de 20 años, la mayor sentencia jamás dictada a un norteamericano por un delito informático, el juez dijo: "Lo que me pareció terrible fue que usted engañó a la agencia del Gobierno con la que al mismo tiempo estaba colaborando, por lo que usted era un agente doble".

Gonzalez compró su primer ordenador cuando tenía 12 años. A los 14 entró ilegalmente en los ordenadores de la NASA, con lo que consiguió que los agentes del FBI fueran a visitarle a su colegio en Miami. Pero Gonzalez no se amilanó. Organizó

un grupo de black hats -un tipo de hackers con tendencia a ir contra la autoridad- y consiguió cierta fama. Entonces abandonó sus estudios universitarios en la Universidad del Condado de Miami en el primer curso. Él mismo había aprendido, leyendo manuales de software, cómo atacar los ordenadores de los proveedores de servicios de Internet para conseguir banda ancha gratis. Se dio cuenta de que aún podía ir más lejos y obtuvo los nombres y claves de acceso de directores y ejecutivos.

El mejor amigo de Gonzalez, Stephen Watt, que se encuentra en estos momentos en la cárcel cumpliendo una condena de dos años por descifrar un programa de software que permitió a Gonzalez robar datos de tarjetas, describe a Gonzalez como "poseedor de una cualidad al estilo de Sherlock Holmes, producto de su buena educación".

Fue en 2003, justo después de haber aceptado convertirse en confidente, cuando Gonzalez ayudó al Departamento de Justicia y al FBI a preparar, en el transcurso de un año, una trampa ingeniosa para destapar Shadowcrew. Gonzalez era el cerebro de la Operación Firewall. Gracias a él, el Gobierno consiguió "poseer", según la jerga de los hackers, Shadowcrew. Compradores secretos se infiltraron en la red y siguieron el rastro de sus usuarios por todo el mundo; con el tiempo, los funcionarios incluso consiguieron transferir el sitio a un servidor seguro controlado por el FBI. Gonzalez convenció a los usuarios de Shadowcrew para que se comunicaran a través de una red privada virtual, un canal seguro que comunicaba a los ordenadores entre sí enviando mensajes codificados que él mismo introducía en el sitio. Esta red privada virtual tenía una característica especial: estaba intervenida por orden judicial.

Gonzalez trabajó con los agentes durante varios meses. La mayoría de ellos le llamaban Albert. Otros le conocían como Soup, por el nombre que había dado a su antigua pantalla, Soupnazi. "Haber pasado tanto tiempo con un confidente que estaba profundamente metido en una trama de delito informático fue una experiencia totalmente nueva para nosotros", explica un fiscal del Departamento de Justicia. "Fue una experiencia de las que dejan huella".

El 26 de octubre de 2004, Gonzalez fue trasladado a Washington, donde se estableció el centro de control de la Operación Firewall en las oficinas centrales del FBI. Consiguió sus objetivos en una sesión de chat. A las nueve de la noche, los agentes comenzaron a derribar puertas. Hacia la medianoche, 28 personas habían sido detenidas en ocho Estados norteamericanos y en seis países, la mayoría de ellas a escasos metros de sus ordenadores. Con el tiempo, otras 19 fueron acusadas. Según algunas informaciones, el Gobierno nunca antes había logrado llevar a cabo un caso tan importante y con tanto éxito contra el delito informático.

Un día después del asalto, los funcionarios del FBI pusieron en la página de inicio de Shadowcrew una fotografía de un matón jorobado, sin camisa, en la celda de una cárcel, con un tatuaje en el que se podía leer: "¡Póngase en contacto con su agente local del FBI de Estados Unidos… antes de que nosotros contactemos con usted!".

"La investigación resultó apasionante", me comentó un día Gonzalez mientras hablábamos sobre Shadowcrew. "Desenmascararles, conocer sus identidades. Sin embargo, cuando pienso en ello, me parece que fue bastante fácil. Cuando alguien confía en uno, puedes bajar la guardia".

Sin embargo, "tenía mala conciencia por todo lo que había pasado". "A diferencia de otros confidentes, tuve un dilema moral", me confesó también. En otra ocasión, cuando estaba hablando sobre el tema, Gonzalez me escribió una carta: "Me gustaría dejar una cosa bien clara… siempre he sido leal a la comunidad de los black hats".

Tras la Operación Firewall, Gonzalez volvió a Miami a finales de 2004. Por entonces estaba investigando sobre la vulnerabilidad de las redes inalámbricas en las empresas. Gonzalez estaba especialmente interesado en las posibilidades de una técnica conocida como wardriving. Los hackers, provistos de portátiles y antenas de radio de gran alcance, aparcan sus coches o furgonetas en los parkings de las grandes tiendas de ordenadores para detectar las redes wifi de las empresas más vulnerables.

Gonzalez contactó de nuevo con Christopher Scott -un viejo amigo de una red social en Internet, EFnet, frecuentada por black hats-, que estaba dispuesto a hacer un trabajo especial. Scott comenzó a intercambiar datos comerciales de la autopista 1 de Miami para buscar objetivos wardriving. Sus experimentos en BJ's Wholesole Club en Miami y en DSW tuvieron éxito. Robó cerca de 400.000 cuentas de tarjetas del primero y un millón del segundo. Le explicó a Gonzalez cómo lo había hecho y le pasó los números de tarjetas.

El verano siguiente, Scott aparcó su coche delante de una de las tiendas Marshall. Consiguió la ayuda de Jonathan James, un menor muy conocido entre los black hats de Miami por haber sido el primer joven norteamericano encarcelado por delitos informáticos. Scott pirateó la red wifi de Marshalls y, junto a James, comenzó a navegar dentro del sistema: capturaron nombres de usuario y claves de acceso, lo que permitió a Gonzalez entrar en la red; atacaron los servidores de la central de Marshalls en Framingham, Massachusetts y en TJX, una filial de la empresa, y localizaron los servidores que alojaban las operaciones con antiguas tarjetas de las tiendas.

A finales de 2006, Gonzalez, Scott y James tenían información de más de 40 millones de tarjetas. Utilizaron los mismos métodos para piratear los ordenadores de OfficeMax, Barnes & Noble, Target, Sports Authority y Boston Market, y probablemente de muchas otras empresas que nunca detectaron que sus equipos hubieran sido pirateados, o al menos no lo notificaron a las autoridades.

Al mismo tiempo que robaba datos de tarjetas bancarias, Gonzalez participaba en una organización internacional. Tomó contacto con un ucranio, Maksym Yastremskiy, que le vendió un conjunto de números de tarjetas de consumidores de Estados Unidos, América del Sur, Europa y Asia, y compartió las ganancias con él. Gonzalez contrató a otro amigo de EFnet, Jonathan Williams, para sacar dinero de todos los cajeros del país. Un amigo de Watt en Nueva York recogía los envíos de dinero en efectivo que Williams y Yastremskiy habían enviado. Entonces, el amigo de Watt enviaba el dinero a Miami o a un apartado de correos que James había creado con la colaboración de

un intermediario. Gonzalez creó sociedades ficticias en Europa. Para cobrar y lavar el dinero abrió una cuenta e-gold y cuentas WebMoney difícilmente controlables. Por último, contactó con dos hackers del este de Europa a quienes solamente conocía por los nombres que mostraban en su pantalla, Annex y Grig, y que estaban dispuestos a entrar en los procesadores de datos de las tarjetas de crédito americanas, el centro neurálgico de las ventas al por menor. "Muchas veces me he preguntado por qué hice todo esto", me dijo recientemente Gonzalez desde la cárcel un día mientras hablábamos por teléfono. "Sobre todo lo hice por dinero. El dinero que ganaba en el FBI no era suficiente y yo lo necesitaba. Cuando me di cuenta, la bola de nieve ya se había formado y era difícil detenerla. Intenté dejarlo, pero no pude". Afirma que sus intenciones eran en parte buenas. Lo que realmente él quería era ayudar a Patrick Toey, un amigo íntimo y hacker que más tarde le ayudaría en otro trabajo.

A diferencia de Gonzalez y de Watt, Toey, de 25 años, tuvo una educación complicada. Tras abandonar sus estudios, tuvo que ayudar a su madre, a su hermano pequeño y a su hermana pirateando ordenadores. Gonzalez prestó su apartamento de Miami a Toey sin cobrarle ni un céntimo. La casa era de su propiedad, pero él prefería vivir en casa de sus padres. Dice que le encantaba cómo cocinaba su madre y jugar con su sobrino. Además, de esa forma tenía más facilidad para lavar el dinero.

A Gonzalez le entusiasmaban también los retos que le proporcionaba el delito informático. No es un programador que destaque por su talento, sino por la forma especial que tiene para introducirse en los sistemas y en las cuentas. A menudo tengo la impresión de que para Gonzalez el delito informático era como un recurso de apelación.

Pero lo cierto es que le gustaba robar. "La emoción siempre conseguía vencer cualquier sentimiento moral que pudiera sentir", me dijo. Y también le gustaba gastar. En parte, aunque no del todo, se puso a explicarme su plan en la operación "hazte rico o muere en el intento". No quiso decirme cuánto dinero había conseguido, pero está

claro que está obteniendo beneficios de los millones de dólares que robó. Parte de ese dinero fue a parar a Toey, pero probablemente nada fue para Watt.

En la primavera de 2007, Gonzalez estaba cansado de trabajar para el FBI. "Siempre llegaba tarde", según la opinión del agente Michael, que habló con otros agentes sobre la posibilidad de controlar a Gonzalez. "No quería estar aquí". Además, estaba cansado del wardriving. Buscaba nuevos desafíos.

González puso toda su atención en TJX, en parte porque almacenaban antiguas transacciones, pero se dio cuenta de que muchas de las tarjetas estaban caducadas. Necesitaba encontrar una manera de conseguir los números de tarjetas justo después de que los clientes las hubieran utilizado. Era posible. Consiguió averiguar cómo meterse en los terminales punto de venta de las tiendas y en los datáfonos de los supermercados, de las gasolineras, de los almacenes o de cualquier otro comercio donde se pudiera comprar algo.

Gonzalez y Toey recorrieron las tiendas de Miami para ver las marcas de los terminales con los que trabajaban. Gonzalez descargó manuales y esquemas de software. Antes de esto, Williams había visitado una tienda de OfficeMax cerca de Los Ángeles donde desenchufó un terminal y salió de la tienda con él. Algunos hackers que trabajaban con un contacto de Gonzalez en Estonia atacaron los ordenadores de la central de Micro Systems en Maryland, el mayor fabricante de sistemas de puntos de venta, y robaron software y una lista con los nombres y claves de acceso de los empleados y se la enviaron a Gonzalez.

Entonces, una vez que Toey le introdujo en el sistema, Gonzalez ya no tuvo que rastrear en las bases de datos para conseguir información valiosa. Podía acceder directamente a los servidores donde llegaban los datos de las tarjetas recién utilizadas, milésimas de segundos antes de que la información fuera enviada al banco para su aprobación. Realizó esta operación en JC Penney, en las tiendas de ropa Wet Seal y en Hannaford Brothers, una cadena de tiendas de alimentación. Su contacto en

Estonia utilizó la misma técnica en Dave & Buster's. "Cada vez que un comercio pasaba una tarjeta, los datos quedaban registrados en nuestros ficheros", explica Toey. "Nadie podía hacer nada".

Unos días antes de la Navidad de 2006, los abogados de TJX llamaron alarmados al Departamento de Justicia y a Stephen Heymann, ayudante del fiscal de Estados Unidos en Massachusetts. Una empresa de tarjetas de crédito había contactado con la compañía, ya que, al parecer, habían descubierto el robo de un gran número de tarjetas que se habían utilizado en Marshalls y en T. J. Maxx. TJX había examinado sus servidores en Framingham y lo que habían descubierto era una catástrofe. Creían que, durante casi un año y medio, "los datos de aproximadamente la mitad de las transacciones realizadas con tarjetas en comercios de Estados Unidos, Puerto Rico y Canadá" habían sido robados. Fue el mayor robo de datos de tarjetas en la historia de Estados Unidos y no había ninguna prueba de ello.

En 2007, los abogados de Dave & Buster's llamaron al FBI. Esta empresa también había sufrido ataques, pero su caso era diferente. Los ladrones se las habían ingeniado para acceder al sistema de puntos de venta. En verano, Heymann y Kim Peretti, fiscal jefe de delitos informáticos del Departamento de Justicia, tenían sobre su mesa una gran cantidad de datos, montones de posibles pruebas y ningún rastro sobre a quién tenían que perseguir. Desesperados, necesitaban encontrar una pista como fuera.

Y les llegó de la mano de los viejos amigos de Peretti en el destacamento oficial de delitos informáticos del FBI. Resultó que, durante dos años, un agente secreto de la oficina de San Diego había estado comprando a Yastremskiy tarjetas de memoria. El agente viajó a Tailandia y a Dubai para encontrarse con el ucranio y en Dubai copió el disco duro del portátil de Yastremskiy sin que este se diera cuenta. Especialistas en informática del FBI peinaron la copia del disco duro y descubrieron que Yastremskiy guardaba meticulosamente los documentos. Desde hacía años, había salvado y catalogado todas las listas de sus clientes y los mensajes que había recibido. En los

registros encontraron a un compañero de chat que parecía ser su mayor proveedor de datos de tarjetas robadas. Sin embargo, todo lo que pudieron conseguir de esta persona fue un número de registro de mensajería instantánea, pero ninguna información personal.

Yastremskiy fue detenido en julio de 2007 en un club nocturno en Turquía. El FBI consiguió de él una prueba muy útil. Su proveedor anónimo le había pedido que le consiguiera un pasaporte falso. Según le había comentado, uno de sus proveedores había sido detenido y quería ayudarle sacándolo de EE UU. El problema: no sabía dónde había sido detenido.

Así que los agentes llamaron a cada una de las comisarías de policía y del fiscal del distrito de todo el país en las que hubieran realizado una detención similar o estuvieran trabajando en un caso parecido. La investigación les condujo a una cárcel de Carolina del Norte donde se encontraba Williams. Había sido detenido llevando encima 200.000 dólares en efectivo. Los agentes del FBI conectaron un pendrive que Williams llevaba en el momento de su detención y encontraron un fichero que contenía una fotografía de Gonzalez, un historial de crédito y la dirección de su hermana María en Miami. "El archivo era una medida de seguridad en caso de que Gonzalez intentara contactar conmigo", me comentó Williams desde la cárcel el pasado mes de junio. Entonces, los funcionarios siguieron la pista de los paquetes que Williams había enviado al apartado de correos de Miami. Esto condujo al FBI hasta James. Registraron los archivos de la policía y descubrieron que en 2005 un oficial de policía le había detenido de madrugada en Palmetto Bay (Florida), junto a Scott, en el parking de una tienda.

El momento culminante llegó cuando los funcionarios del FBI finalmente consiguieron la información del número de registro de mensajería instantánea de quien estaba suministrando a Yastremskiy los datos de tarjetas bancarias. No había una dirección ni un nombre, pero sí una dirección de correo electrónico: [email protected]. Era la prueba evidente para quien conociera a Gonzalez.

Enseguida, la operación "hazte rico o muere en el intento" se puso en marcha. La policía registró los domicilios de Scott y de Gonzalez. Los agentes detuvieron a Scott y se llevaron nueve ordenadores y 78 plantas de marihuana. En la casa de Gonzalez encontraron varias drogas de diseño y a un medio dormido Toey. Este fue conducido a Boston para prestar declaración ante un jurado de acusación. Les dijo a Heymann y a Peretti dónde localizar las cuentas e-gold y WebMoney y los servidores que estaban alojados fuera del país. Gracias a estos servidores pudieron localizar a Watt, que había vuelto a su apartamento de Greenwich Village, donde se encontró a un grupo de policías esperándole. También registraron la casa de Gonzalez, pero Albert no estaba allí.

Finalmente, la policía lo localizó el 7 de mayo de 2008 a las siete de la mañana en la suite del hotel National en Miami Beach. Junto a él había una mujer croata, dos portátiles y 22.000 dólares. Comenzó a hablar rápidamente. Meses después condujo a los agentes del FBI hasta un contenedor enterrado en el jardín de la casa de sus padres en el que había 1,2 millones de dólares. El abogado de Gonzalez le aseguró que para el Gobierno era un caso que no tenía mucha consistencia. Las pruebas electrónicas a menudo no se sostienen, afirmó.

Esto fue antes de que los abogados de Heartland Payment Systems en Princeton (Nueva Jersey) hubieran llamado a Peretti a principios de enero de 2009. Heartland, una de las empresas más importantes del país de datáfonos, había sido atacada. Pronto Gonzalez le confesó a Peretti que había ayudado a Annex y a Grig a entrar en Heartland a través de una técnica conocida como inyección SQL. Por entonces, en Heartland ya se habían dado cuenta de que algo no funcionaba bien. Este robo había sido demasiado importante: habían desprotegido los datos de 130 millones de transacciones. Gonzalez fue acusado en Nueva Jersey, Nueva York y Massachusetts (donde había pruebas más contundentes del caso).

En la sentencia dictaminada en marzo, Gonzalez fue declarado culpable de todos los cargos. Teniendo en cuenta el tiempo que pasó en prisión antes de la condena y el buen comportamiento, probablemente saldrá de la cárcel en 2025.

En mayo, Toey ingresó en prisión para cumplir una condena de cinco años, y Scott, una de siete. A Yastremskiy le cayeron 30 años en una cárcel de Turquía. Watt, que afirmó que nunca supo muy bien para qué quería utilizar Gonzalez su software y no quiso dar información sobre Gonzalez al jurado o al fiscal, ha sido condenado a dos años.

Según el fiscal general Eric Holder, TJX, Heartland y otras empresas víctimas de los ataques de Gonzalez tuvieron que hacer frente a más de 400 millones de dólares en reembolsos y honorarios de abogados y forenses. Al menos 500 bancos se vieron afectados por el ataque a Heartland. En Estados Unidos, el fraude online continúa en auge, aunque las estadísticas muestran una caída importante en 2009 respecto a años anteriores, cuando Gonzalez estaba en activo.

Tras la sentencia, Gonzalez fue trasladado al Metropolitan Detention Center (MDC) en Brooklyn (anteriormente había estado en una prisión de Michigan). Situado entre un tramo de la autopista de Brooklyn a Queens y Gowanus Bay, el MDC es un sitio horrible incluso para ser un centro penitenciario. "Este lugar es terrible", dijo el agente Michael. "Pero ¿quiere que le diga una cosa? Cuando se juega con fuego, esto es lo que se consigue".

Incluso el propio Gonzalez está impresionado por la poca sensibilidad que el Gobierno muestra por su confort. Dice que siempre imaginó que algún día iba a pasarle algo así, "pero nunca pensé que iba a estar tan mal".