Upload
vonhan
View
237
Download
0
Embed Size (px)
Citation preview
UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA
La Universidad Católica de Loja
ÁREA SOCIO HUMANÍSTICA
TÍTULO DE ESPECIALISTA EN DERECHO PROCESAL PENAL
Teoría del Caso de los delitos que afectan a las instituciones del sistema
financiero, cometidos a través de medios informáticos y electrónicos
TRABAJO DE FIN DE TITULACIÓN.
AUTOR: Sempértegui Fernández, Luis Fernando
DIRECTOR: Torres Regalado, Enrique Tiberio, Dr.
CENTRO UNIVERSITARIO QUITO
2015
APROBACIÓN DEL DIRECTOR DEL TRABAJO DE FIN DE ESPECIALISTA
Doctor Enrique Tiberio Torres Regalado DOCENTE DE LATITULACIÓN
De mi consideración:
El presente trabajo de fin de especialista denominado: “Teoría del Caso de los delitos que
afectan a las instituciones del sistema financiero, cometidos a través de medios informáticos
y electrónicos”, realizado por Luis Fernando Sempértegui Fernández, ha sido orientado y
revisado durante su ejecución, por cuanto se aprueba la presentación del mismo.
Azogues, abril del 2015.
f)………………………………..
ii
DECLARACIÓN DE AUTORÍA Y CESIÓN DE DERECHOS
Yo, Luis Fernando Sempértegui Fernández, declaro ser autor del presente trabajo de fin de
especialidad: “Teoría del Caso de los delitos que afectan a las instituciones del sistema
financiero, cometidos a través de medios informáticos y electrónicos”, de la Titulación
Especialidad en Derecho Procesal Penal, siendo el Doctor Enrique Tiberio Torres Regalado
director del presente trabajo; y, eximo expresamente a la Universidad Técnica Particular
de Loja y a sus representantes legales de posibles reclamos o acciones legales. Además
certifico que las ideas, conceptos, procedimientos y resultados vertidos en el presente
trabajo investigativo, son de mi exclusiva responsabilidad.
Adicionalmente, declaro conocer y aceptar la disposición del Art. 88 del Estatuto
Orgánico de la Universidad Técnica Particular de Loja que en su parte pertinente
textualmente dice: “Forman parte del patrimonio de la Universidad la propiedad
intelectual de investigaciones, trabajos científicos o técnicos y tesis de grado que se
realicen con el apoyo financiero, académico o institucional (operativo) de la Universidad”.
f)……………………………………………………..
Autor: Luis Fernando Sempértegui Fernández.
Cédula: 171124800-3
iii
AGRADECIMIENTO
Mi eterna gratitud a quienes me han apoyado en esta etapa decisiva de crecimiento, en mi
formación personal y profesional: mis padres, mi hermano, mi familia. También agradezco a
todos aquellos seres queridos que son y seguirán siendo para mí, un ejemplo permanente
de bondad, de virtud y de coraje frente a la adversidad: mi hermana y mis abuelos, siempre
presentes en mi corazón.
iv
DEDICATORIA
La presente tesina representa una culminación madura de una etapa laboral y de arduo
estudio, dedicado a la construcción de estructuras para buenas prácticas bancarias, por lo
que me permito dedicar esta pequeña obra, a la sociedad ecuatoriana, como un aporte en la
búsqueda de la mejor comprensión de las nuevas tecnologías que caracterizan las
operaciones del sistema financiero nacional en relación a sus clientes, y el tratamiento que
debe darse a las mismas, para identificar y prevenir los delitos que se cometen a través de
medios informáticos y electrónicos.
v
ÍNDICE DE CONTENIDOS
Página
Carátula
Aprobación del Director del Trabajo de Fin de Especialidad
Declaración de autoría y cesión de derechos
i
ii
iii
Agradecimiento iv
Dedicatoria v
Índice de contenidos vi
RESUMEN
ABSTRACT
1
2
INTRODUCCIÓN 3
CAPÍTULO I: DELITOS INFORMÁTICOS PERPETRADOS A TRAVÉS DE
SISTEMAS INFORMÁTICOS Y ELECTRÓNICOS
5
1.- Definición de delito informático 6
2.- Clasificación de los delitos informáticos 8
3.- Problemas especiales en la persecución de los delitos informáticos 16
CAPÍTULO II: DELITOS INFORMÁTICOS Y ELECTRÓNICOS QUE AFECTAN A
LAS INSTITUCIONES DEL SISTEMA FINANCIERO, ESTABLECIDAS EN EL
NUEVO CÓDIGO ORGÁNICO INTEGRAL PENAL
17
1.- El nuevo Código Orgánico Integral Penal y la doctrina final de la acción 18
2.- Los delitos patrimoniales e informáticos en el nuevo Código Orgánico Integral
Penal con relación al ámbito bancario
19
2.1. Delitos patrimoniales que se cometen por medios informáticos 19
2.2. Delitos informáticos y electrónicos que afectan a los clientes, actividades y
productos del sistema financiero
21
CAPÍTULO III: TEORÍA DEL CASO DE LOS DELITOS INFORMÁTICOS Y
ELECTRÓNICOS QUE AFECTAN A LAS INSTITUCIONES DEL SISTEMA
FINANCIERO
29
1.- ¿Qué es la teoría del caso? 30
2.- Componentes o elementos de la teoría del caso 31
vi
Página
2.2. Elemento fáctico 31
2.1. Elemento probatorio 32
2.3. Elemento jurídico 32
3.- Desarrollo de la teoría del caso, en dos (2) ejemplos prácticos aplicados al
sistema bancario, de delitos cometidos a través de medios informáticos y
electrónicos, desde las perspectivas estratégicas de la Fiscalía y de la defensa del
procesado.
33
N° 1: Teoría del caso de la Fiscalía 33
N° 2: Teoría del caso de la defensa del procesado 43
CAPÍTULO IV: CADENA DE CUSTODIA EN LOS DELITOS INFORMÁTICOS Y
ELECTRÓNICOS QUE AFECTAN A LAS INSTITUCIONES DEL SISTEMA
FINANCIERO
54
1.- ¿Qué es la cadena de custodia? 55
2.- Evidencia digital y sus diferencias con la prueba documental 56
3.- Proceso de cadena de custodia de las evidencias o indicios de los delitos
informáticos y electrónicos que afectan al sistema bancario ecuatoriano.
3.1. Conservación de la evidencia informática
3.2. Conservación de la evidencia de medios electrónicos
58
59
61
CONCLUSIONES 63
RECOMENDACIONES
BIBLIOGRAFÍA
67
71
vii
1
RESUMEN
En la presente investigación se realiza un análisis teórico práctico, a la luz del nuevo Código
Orgánico Integral Penal, de los escenarios del delito informático y del delito electrónico. El
lugar de los hechos en los delitos de apropiación ilícita por medios informáticos es un
escenario virtual en donde destaca el punto o lugar de origen de los ataques, el uso de
computadores o servidores informáticos para efectos de perpetrar el delito, y las cuentas de
los clientes de los bancos como destino de los ataques. Así mismo, en los delitos que se
consuman atacando canales electrónicos, se instalan aparatos conocidos como skimmer.
Estos aparatos copian los datos e información de los clientes cuando utilizan sus tarjetas de
débito o crédito, falsificando posteriormente la identidad electrónica del usuario y clonando
su tarjeta para retirar fondos de su cuenta.
Esta investigación describe y evalúa los mejores métodos y estrategias de construcción de
una Teoría del Caso; esquema fáctico, probatorio y jurídico que permite litigar con eficacia,
tanto al abogado defensor (público o privado) como a la Fiscalía, en materia de delitos
informáticos y electrónicos.
PALABRAS CLAVES: Teoría del Caso, apropiación ilícita, skimming, escenario virtual,
canales electrónicos, identidad electrónica, clientes bancarios.
2
ABSTRACT
The present research carries out a theoretical/practical analysis of cybercrime and
electronic crime; analysis based on the new Ecuadorian “Integral Penalty Law Code”.
These felonies of misappropriation take place in a virtual environment, where the
following elements are considered as important: the place where the attacks are
originated, the use of computers or computer servers to perform the crime, and the
bank accounts which are targets of these attacks. Likewise, in felonies achieved by
attacking electronic devices, criminals use a gadget known as the “skimmer”. This
gadget copies the clients’ information when a credit or debit card is used.
Subsequently, the criminals clone these cards and then falsify the electronic identity
of the users in order to withdraw funds from their accounts.
This research describes and evaluates the best methods and strategies to ensemble
a Case Theory; a factual, probative and legal scheme that allows both the attorney
(public or private) and the prosecutor, to litigate efficiently on cybercrimes and
electronic crimes.
KEY WORDS: Case Theory, Misappropriation, skimming, virtual environment,
electronic means, electronic identity, bank clients.
3
INTRODUCCIÓN
Los delitos perpetrados a través de sistemas informáticos, canales y dispositivos
electrónicos, son muy comunes en la actualidad. Este tipo de infracciones afectan de
manera grave a los clientes e instituciones del sistema financiero nacional privado y
constituyen un tipo de delincuencia especial, suscitada en un escenario distinto al de otros
ilícitos (se desenvuelve a través de redes y canales informáticos o electrónicos). La finalidad
de estos delitos es la apropiación ilícita de los dineros que han sido confiados por la
ciudadanía a los bancos, afectando a su patrimonio, y, minando a su vez, la confianza que el
público tiene puesta en el sistema bancario.
La Teoría del Caso en el contexto del nuevo Código Orgánico Penal Integral (COIP) hace
posible determinar con eficacia los elementos con los cuales debe contar la Fiscalía para
poder establecer, desde los puntos de vista jurídico, fáctico y probatorio, la sustentación de
la materialidad del delito cometido, y la responsabilidad o imputabilidad a los responsables
del ilícito; elementos que exige la ley penal para que se dicte sentencia que declare la
culpabilidad y se aplique la correspondiente pena.
Este tema tiene relevancia en la sociedad, por lo que su estudio contribuye a establecer una
estrategia de apoyo al combate de los delitos contra el patrimonio perpetrados por medios
informáticos y electrónicos. Muchas veces, la falta de conservación del elemento probatorio
en este tipo de infracciones, genera que la Fiscalía se vea disminuida en cuanto a su
intervención en las distintas fases del proceso penal, y que muchos casos se desestimen o
archiven por causa de una incorrecta conducción de la investigación penal de este tipo de
delitos.
En la actualidad, es importante para el buen ejercicio profesional de los abogados y para el
eficiente desempeño de los fiscales, la elaboración de una teoría fáctica y jurídica adecuada
para los delitos informáticos y electrónicos, que les permita sustentar eficientemente ante los
jueces, la verificación de los elementos del tipo penal, en concordancia con los hechos
fácticamente determinados, para que se establezca sin duda alguna, la adecuación típica
correcta de los hechos constitutivos del delito informático o electrónico, sea para que se
determine la responsabilidad del sujeto o sujetos imputados, o para que se ratifique su
estado de inocencia.
4
Los elementos constitutivos de materialidad que generan los tipos penales correspondientes
a los delitos patrimoniales que se cometen a través de medios informáticos y electrónicos
que afectan a los clientes de las instituciones del sistema financiero nacional, configuran una
nueva forma de perpetrar el delito, a través de la eliminación de la identidad real del
delincuente informático, cuya volición en busca de un resultado dañoso, se verifica en la
utilización de elementos empleados para violentar las seguridades informáticas y
electrónicas de los productos bancarios que utilizan los clientes de las instituciones del
sistema financiero nacional. La IP (Internet Protocol) y las redes informáticas, constituyen el
nuevo escenario en el cual se debe determinar científicamente, cuáles son los mecanismos
que permiten realizar la consumación de los tipos penales correspondientes a los delitos de
estafa electrónica, apropiación ilícita por medios informáticos y, los delitos que se cometen
contra la seguridad de los activos de los sistemas de información y comunicación. El
conocimiento pericial es vital para el diagnóstico de la existencia de estos delitos y la
determinación de sus posibles responsables.
Otro tema de singular interés para el sistema de justicia ecuatoriano, es el correcto uso de la
cadena de custodia, y, la obtención, conservación y almacenamiento adecuado de los
elementos probatorios, tanto en delitos que utilizan el software como medio o finalidad, así
como en los delitos en que se utilizan o se afectan los medios electrónicos, especialmente
en los ilícitos que afectan a los clientes de las instituciones del sistema financiero nacional.
Este estudio desarrolla en su contenido, la doctrina que sustenta la teoría jurídica de los
delitos informáticos y electrónicos y los instrumentos internacionales que esbozan políticas
de combate y prevención de la ciberdelincuencia; se enfoca también en el análisis jurídico
de las figuras de los delitos patrimoniales que se cometen a través de medios informáticos y
de los delitos que se cometen en contra la seguridad de los activos de los sistemas de
información y comunicación constantes en el COIP; se examina y se aplica la metodología
de la Teoría del Caso para los delitos informáticos y electrónicos desde la óptica de la
Fiscalía y de la del abogado defensor de los procesados; y, se establecen los parámetros
del correcto manejo de la cadena de custodia, esto es, las medidas de extracción,
conservación y almacenamiento que deben utilizarse para la preservación de la evidencia
material o virtual que deja como huella la comisión de los delitos informáticos y electrónicos.
CAPÍTULO I
DELITOS INFORMÁTICOS O PERPETRADOS A TRAVÉS DE SISTEMAS
INFORMÁTICOS Y ELECTRÓNICOS
6
1.- Definición de delito informático
El tratadista Luis Azaola Calderón1 diferencia aquellos delitos que se cometen en contra del
software y en contra del hardware de un computador, respecto de los delitos ejecutados
contra la memoria de los ordenadores. Los actos de agresión en contra de los elementos
materiales del sistema computacional, constituyen daños contra la propiedad, mientras que
los delitos que son perpetrados en contra del software, afectan financieramente en particular
a las empresas que son dueñas de los programas informáticos. Finalmente, los delitos en
contra de los datos que reposan en la memoria de un computador, afectan patrimonialmente
a las personas.
No comparto con el citado autor la relevancia discreta que le presta a los delitos que se
cometen por vía internet, la cual la refiere al atentado en contra de sistemas informáticos
gubernamentales. En la actualidad, y particularmente en el Ecuador, el internet y las
plataformas informáticas han servido como base de la comisión de infracciones “a distancia”,
dándole un carácter internacional a la extracción ilícita de fondos de clientes de las
instituciones del sistema financiero nacional.
El cibercrimen se ha convertido en una modalidad usual de atentado en contra de los
dineros de personas y empresas, siempre buscando las maneras de quebrar las
seguridades y sistemas de protección que los bancos y otras instituciones financieras
implementan para ofrecer una correcta custodia de estos fondos de sus clientes. Es el
delincuente sin rostro el que aparece en escena en estos delitos, en los cuales apenas
asoma la cara visible de un primer beneficiario (generalmente se trata de quien recibe el
dinero como producto de la transacción fraudulenta en su cuenta bancaria), dudoso
testaferro de quienes a nivel internacional manejan y promueven las raíces del crimen
informático.
Otro tipo de análisis es el que realiza Juan Carlos Riofrío Martínez-Villalba2, quien establece
diferencia entre aquellos medios informáticos que constituyen documentos (información de
carácter “virtual”, soportada dentro de un medio físico como un disco duro o servidor, que
1 Azaola Calderón, Luis. (2010). Delitos Informáticos y Derecho Penal (pp. 21-22). México: Ubijús.
2 Riofrío Martínez Villalba, Juan Carlos. (2004). La Prueba Electrónica (pp. 34-37). Bogotá, Colombia: Temis.
7
tiene carácter documental), frente a la información de escritura que podría generarse, por
ejemplo, cuando existe error en el sistema informático, o bien frente al hardware, que es la
parte física del computador. Este tratadista deduce qué tipo de evidencia informática puede
constituir prueba o elemento de convicción dentro de juicio: “Los documentos informáticos
que cumplen la función del docere3, son verdaderos documentos. Al ser documentos son
naturalmente aptos para arrojarle algún grado de evidencia al juzgador, y por consiguiente,
finalmente pueden llegar a constituirse como medio de prueba dentro del proceso”. (Riofrío,
2004, p.34).
En la realidad jurídica ecuatoriana, el modo en que se prueba un delito informático cometido
en contra de clientes de una institución del sistema financiero, es, normalmente, a través de
una pericia informática o electrónica de extracción de los datos de las transacciones
calificadas como ilícitas o no autorizadas; de igual manera, en el caso de alteraciones y
manipulación de cajeros automáticos, se realiza la experticia electrónica que demuestra la
alteración de la máquina conocida como Automatic Teller Machine (en adelante ATM o
cajero automático), de su teclado, dispensador y dispositivo electrónico de lectura de
tarjetas, pudiendo llegarse a detectar la instalación de diversos dispositivos de filmado y
copiado de claves electrónicas, o de extracción o alteración de los datos que descansan en
los discos duros de estas máquinas.
El mismo Juan Carlos Riofrío, citando a Feldman y Kohn4, explica que es necesario adoptar
las siguientes medidas para recolectar y conservar la información electrónica:
a) Informar cuanto antes a quienes tengan el control de las computadoras que contienen
evidencia informática de ella, para que procuren no borrarla; b) Realizar con alguna frecuencia backups (copias de los programas) en soportes duros,
como cintas magnéticas, discos compactos u ópticos de una sola grabación, etc.; c) Recolectar los datos en una inspección informática, y de ser posible, agendas electrónicas
y correos electrónicos que suelen contener copias de información borrada;
3 Juan Carlos Riofrío se refiere con docere, a los elementos intelectuales de un documento que expresan la
intencionalidad y la expresividad de su autor. Los otros elementos, según la clasificación del tratadista
Núñez Lagos a quien cita este autor, son los pertenecientes al corpus y corresponden al soporte
material y a la grafía.
4 Joan E. Feldman y Rodger I. Kohn, citados por Juan Carlos Riofrío, Ibíd., p. 150.
8
d) Preguntar a todos los testigos sobre el uso que le daban a las computadoras las personas que las tenían bajo su control;
e) Sacar imágenes lógicas del disco duro con relativa frecuencia, para poder reconstruir más
fácilmente la información borrada; f) Preservar y custodiar los equipos electrónicos, de tal manera que la información no pueda
ser alterada; y, g) Contratar a un experto para que descubra la mayor cantidad de evidencia posible.
En cuanto se refiere a las transacciones de clientes de las instituciones del sistema
financiero ecuatoriano, la conservación de los logs o registros históricos de estas
operaciones, es fundamental al momento de determinar técnicamente, si el origen y destino
de las transacciones bancarias tuvo un proceder fraudulento. Las direcciones IP (Internet
Protocol) que se lleguen a detectar en el análisis técnico informático, son indispensables
para conocer si el delito fue perpetrado a nivel nacional o en el exterior; sin perjuicio de
señalar que el primer presunto sospechoso de la infracción es aquel sujeto beneficiario de
los dineros transferidos vía Internet, desde la cuenta de un cliente bancario, sin su
conocimiento, consentimiento, ni acción alguna de su parte.
2.- Clasificación de los delitos informáticos
El Décimo Congreso de las Naciones Unidas sobre Prevención del Delito y Tratamiento del
Delincuente, llevado a cabo en Viena, del 10 al 17 de abril del 2014, estableció la existencia
de dos subcategorías de delitos cibernéticos:
a) Delito cibernético en sentido estricto (“delito informático”): Todo
comportamiento ilícito que se valga de operaciones electrónicas para atentar contra
la seguridad de los sistemas informáticos y los datos procesados por ellos; y,
b) Delito cibernético en sentido lato (“delito relacionado con computadoras”):
Todo comportamiento ilícito realizado por medio de un sistema o una red
informáticos, o en relación con ellos; incluidos los delitos como la posesión, el
ofrecimiento o la distribución ilegales de información por medio de un sistema o una
red informáticos.
9
Analizando la clasificación establecida por la ONU y siguiendo al jurista Diego Salamea
Carpio5, tenemos como resultado la siguiente clasificación de tipos de delitos informáticos:
a) Fraudes cometidos mediante manipulación de computadoras
Manipulación de los datos de entrada: Este tipo de fraude informático conocido
también como sustracción de datos, representa el delito informático más común ya
que es más fácil de cometer y difícil de descubrir. Este delito no requiere de
conocimientos técnicos concretos de informática y puede realizarlo cualquier persona
que tenga acceso a las funciones normales de procesamiento de datos en la fase de
adquisición de los mismos.
Manipulación de programas: Es muy difícil de descubrir y a menudo pasa
inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos
de informática. Este delito consiste en modificar los programas existentes en el
sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un
método común utilizado por las personas que tienen conocimientos especializados
en programación informática es el denominado “caballo de Troya”, que consiste en
insertar instrucciones de computadora de forma encubierta en un programa
informático para que pueda realizar una función no autorizada al mismo tiempo que
su función normal. Un virus troyano ingresa en el sistema informático de un
computador de forma aparentemente inofensiva (por ejemplo a través de un archivo
adjunto en un mensaje recibido mediante correo electrónico) y una vez en el sistema
del destinatario se activa y se convierte en una herramienta que, desde adentro, abre
todas las puertas para que el atacante pueda tomar control total del sistema.
Manipulación de los datos de salida: Se efectúa fijando dispositivos extraños al
funcionamiento de un sistema informático. El ejemplo más común es el fraude
de que se hace objeto a los cajeros automáticos mediante la falsificación de
instrucciones para la computadora en la fase de adquisición de datos.
Tradicionalmente estos fraudes se realizan a tarjetas bancarias robadas; sin
embargo, actualmente se usan ampliamente equipos y programas de computadora
5 Salamea Carpio, Diego. (2013). El Delito Informático y la Prueba Pericial Informática (pp. 82-90). Quito: Editorial
Jurídica del Ecuador.
10
especializados para codificar información electrónica falsificada en las bandas
magnéticas de las tarjetas de débito y de las tarjetas de crédito.
Fraude efectuado por manipulación informática: Aprovecha las repeticiones
automáticas de los procesos de cómputo. Es una técnica especializada mediante la
cual se debitan cantidades muy pequeñas de dinero de una cuenta, transfiriéndose a
otra. Este tipo de fraude se conoce en la legislación alemana como como “estafa
informática”, diferenciándose del tipo penal básico de la estafa, por la utilización de la
tecnología informática que produce el perjuicio económico a través de la sustitución
falsa de la conducta del titular del derecho; sin embargo, al igual que el tipo básico
de la estafa, requiere para su consumación de la producción del daño patrimonial,
cualquiera sea la modalidad que asuma la interferencia con los códigos,
instrucciones y programas.
Diego Salamea Carpio6, citando a los tratadistas Gabaldón y Becerra, dice: “A diferencia de
la delincuencia convencional, donde la aproximación física y la fragmentación temporal son
fundamentales, mediante estas tecnologías se genera un entorno de ejecución sin
desplazamiento físico del delincuente y mediante condensación temporal e, inclusive,
simultáneamente”.
b) Falsificaciones informáticas
Como objeto: Cuando se alteran datos de los documentos almacenados en forma
computarizada.
Como instrumentos: Los computadores pueden utilizarse también para efectuar
falsificaciones de documentos de uso comercial. Cuando empezó a disponerse de
fotocopiadoras computarizadas en color a base de rayos láser surgió una nueva
generación de falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras
pueden hacer copias de alta resolución, modificar documentos e incluso pueden
crear documentos falsos sin tener que recurrir a un original, y los documentos que
producen, son de tal calidad que solo un experto puede diferenciarlos de los
documentos auténticos.
6 Salamea Carpio, Diego, Ibíd., p. 84.
11
c) Daños o modificaciones de programas o datos computarizados
Sabotaje informático: es el acto de borrar, suprimir o modificar sin autorización,
funciones o datos de computadora con intención de obstaculizar el funcionamiento
normal del sistema. Las técnicas que permiten cometer sabotajes informáticos son:
1) Virus: Son una serie de programas en clave, codificados, que pueden
adherirse a programas legítimos y propagarse de esta manera en la
memoria y otros sistemas informáticos. Un virus puede ingresar en un sistema
por conducto de una pieza legítima de soporte lógico que ha quedado
infectada, así como utilizando el método del Caballo de Troya. También se
trata de programas con la capacidad de transmitirse entre computadores y
redes, generalmente sin conocimiento de los usuarios. Los virus pueden tener
indeseables efectos secundarios, desde el molestar con absurdos mensajes,
hasta llegar a borrar todo el contenido del disco duro del computador o
alterar completamente las funciones de la memoria en la cual se cargan los
programas.
2) Gusanos: Son programas fabricados en forma similar a los virus que pueden
introducirse en programas legítimos con la finalidad de infectar sistemas de
datos para destruirlos, pero con la diferencia que no pueden regenerarse
como los virus.
3) Bombas lógicas: Son programas destructivos de los sistemas de datos que
se programan para “explotar” o ejecutarse en un período de tiempo futuro
para causar el mayor daño posible. La programación futura de este tipo de
programas dificulta mucho la posibilidad de ubicar a la persona o personas
que infectan los sistemas con esta clase de mecanismos.
4) Acceso no autorizados a sistemas o servicios: El quebrantamiento de las
seguridades informáticas, particularmente los contenidos de páginas Web de
empresas, entidades públicas, bienes y servicios que se prestan al público, a
fin de inutilizarlas o modificarlas para perjudicar o engañar al público en
general o para sacar provecho personal, es lo que se conoce como hakeo, el
mismo que puede variar desde la simple conducta de curiosidad o desafío
12
intelectual para una persona conocedora del tema informático, hasta el
auténtico sabotaje o espionaje informático.
5) Piratas informáticos: El acceso informático se efectúa desde lugares
remotos de las redes informáticas. Los piratas informáticos se hacen pasar
por usuarios legítimos del sistema. Esto suele suceder con frecuencia en los
sistemas en los que los usuarios pueden emplear contraseñas comunes o
contraseñas de mantenimiento que están en el propio sistema. Con estos
mecanismos los ciber delincuentes pueden acceder a la información que se
guarda como segura, como por ejemplo, la información bancaria o de datos
confidenciales de las personas.
6) Reproducción no autorizada de programas informáticos protegidos
legalmente y con derechos de autor o patente: Este tipo de acciones
suelen perjudicar económicamente a la persona natural o jurídica que ha
generado el programa informático, y no obstante de tratarse de infracciones
penadas por la Ley, en el Ecuador por ejemplo, es muy común verificar la
presencia de numerosos puestos de venta de toda clase de programas
informáticos reproducidos sin autorización. Esta reproducción no se limita
solamente a programas de software, sino también de toda clase información
introducida en un medio digital y que pueda ser comercializada en el
mercado.
En cuanto a la Unión Europea se refiere, existe como acuerdo marco, el Convenio sobre
Ciberdelincuencia suscrito en Budapest, el 23 de noviembre del 2001, cuyo objetivo es la
cooperación internacional entre los Estados miembros, para prevenir los actos que pongan
en peligro la confidencialidad, la integridad y la disponibilidad de los sistemas, redes y datos
informáticos, así como el abuso de dichos sistemas, redes y datos, garantizando la
tipificación como delito de dichos actos, tal como se definen en el citado convenio, el cual
incluye la asunción de poderes suficientes para luchar contra dichos delitos, facilitando su
detección, investigación y sanción, tanto a nivel nacional como internacional, estableciendo
disposiciones materiales que permitan una cooperación internacional rápida y fiable. Este
convenio clasifica a los delitos de la siguiente manera:
1) Delitos contra la confidencialidad, la integridad y la disponibilidad de
los datos y sistemas informáticos: Comprende el acceso ilícito, la intercepción ilícita, los
13
ataques a la integridad de los datos, ataques a la integridad del sistema informatico y abuso
de los dispositivos.
2) Delitos informáticos: Forman parte de este título, la falsificación informática y
el fraude informático. Para el efecto del desarrollo de esta tesina, nos interesa conocer cómo
este convenio define cada uno de estos delitos.
A la falsificación informática, el convenio la define como como la introducción, alteración,
borrado o supresión ilegítimos de datos informáticos que genere datos no auténticos con la
intención de que sean tomados o utilizados, a efectos legales como si fuesen auténticos,
con independencia de que los datos sean legibles e inteligibles directamente.
El fraude informático se define en este convenio como el conjunto de actos deliberados e
ilegítimos que causen perjuicio patrimonial a una persona mediante:
a) La introducción, alteración, borrado o supresión de datos informáticos; y,
b) Cualquier interferencia en el funcionamiento de un sistema informático.
Ambos presupuestos anteriores deben tener la finalidad de obtener de forma ilegítima, un
beneficio económico para el infractor o para una tercera persona.
3) Delitos relacionados con el contenido: En este punto tenemos a los delitos
relacionados con la pornografía infantil. Se busca el compromiso de los países suscribientes
para sancionar la producción de pornografía infantil a efectos de difundirla por medio de un
sistema informático; también se busca sancionar la oferta o puesta a disposición de la
pornografía infantil a través de un sistema informático, la difusión o trasmisión de
pornografía infantil, la adquisición de pornografía infantil por medios informáticos para sí o
para terceros, y finalmente, la posesión de pornografía infantil en un sistema informático o
en un dispositivo de almacenamiento de datos informáticos.
4) Delitos relacionados con infracciones a la propiedad intelectual y de los
derechos afines: En este título del convenio, los suscribientes adoptan el compromiso de
establecer tipificación y medidas de sanción para las infracciones cometidas en contra de las
obras literarias y artísticas protegidas por el Convenio de Berna y por los acuerdos de
14
propiedad intelectual de la OMPI sobre derechos de autor, cuando estas infracciones
hubiesen sido cometidas por medio de un sistema informático y a escala comercial.
También se busca el compromiso de las partes para tipificar y sancionar los delitos
cometidos por sistemas informáticos y a escala comercial, que afecten los derechos de
propiedad intelectual sobre interpretación o ejecución de fonogramas y radiodifusión,
protegidos por la Convención Internacional de Roma sobre la Protección de los Artistas
Intérpretes o Ejecutantes, los Productores de Fonogramas y los Organismos de
Radiodifusión, y el Tratado de la OMPI sobre Interpretación y Ejecución de Fonogramas.
Este convenio busca lograr también que los Estados partes tomen las medidas de
conservación necesarias para almacenar de una manera rápida y eficiente, las evidencias
de los delitos cometidos por medio o en contra de los sistemas informáticos, a efectos de
lograr un procesamiento y detección eficaz de los datos obtenidos en tiempo real (tráfico de
la red) y así poder identificar con claridad y a la brevedad posible a los responsables del
ciberdelito. El convenio establece también el marco de cooperación o asistencia mutua entre
los países suscribientes o adherentes para el acceso transfronterizo a datos almacenados
públicamente, y para la asistencia mutua en relación con la intercepción de datos relativos al
contenido.
En el Ecuador, los principales siniestros o eventos que por vía informática o
telemática, afectan a los clientes de las instituciones del sistema financiero privado,
tanto personas naturales como empresas, son los siguientes:
1.- Pishing (pesca fraudulenta de datos); o, password harvesting fishing (cosecha y
pesca de contraseñas).
2.- Pharming (reenvío a otra dirección web desde un mensaje de correo o página).
3.- Transferencias no autorizadas de fondos (desde cuentas de personas naturales,
vía internet).
4.- Generación de órdenes de pago no autorizadas y transferencias de fondos por el
sistema Cash Management (sistema informático de transferencias y órdenes de pago
que los bancos utilizan para las transacciones de sus clientes empresariales).
15
En tanto que, los principales eventos que afectan a los clientes de las instituciones
financieras ecuatorianas a través de la manipulación y alteración de los productos,
servicios y canales electrónicos que estas instituciones ofrecen, son los siguientes:
1) Clonación de tarjetas de débito y crédito a través del skimming, que es un
método de copia de los datos y claves de las tarjetas de débito o crédito, utilizando micro
cámaras y/o teclados colocados en los cajeros automáticos.
2) Copia de las bandas magnéticas de seguridad de las tarjetas de débito o
crédito de los clientes, e inserción de estas bandas clonadas en moldes de tarjetas
robadas o adquiridas fraudulentamente, con la finalidad de realizar compras o consumos
con cargo o débito a la cuenta del cliente afectado.
3) Shutteros: Se trata de la manipulación de los cajeros automáticos para obtener
dinero, generando una condición de error en los discos duros y software de estos cajeros.
Los delincuentes introducen una lámina en la ranura de la salida de efectivo del ATM y
accionan un sensor, el cajero automático abre la tapa del dinero e interpreta una condición
de error, por lo que reversa la transacción; luego, el defraudador hala las bandas
transportadoras del efectivo y toma el dinero.
4) Manipulación de los canales de comunicación de los cajeros
automáticos, sustracción y desciframiento de claves encriptadas de seguridad de los
ATMS del Banco, a través de la conexión de discos duros portátiles, memorias flash,
teclados, mouses, smartphones (teléfonos celulares inteligentes), al disco duro de los
cajeros automáticos y desactivación de los sistemas antivirus. En razón del acceso, las
personas encargadas del mantenimiento del equipo electrónico bancario suelen constituirse,
sino en autores en algunos casos, en cómplices coadyuvantes de estos delitos.
5) Revelación del secreto bancario, esto es, proporcionar a terceros la
información de los clientes bancarios contenida en las bases de datos informáticas,
generalmente bajo promesa de pago de dinero o con amenazas. En este tipo de conductas
ilícitas participan los funcionarios del banco como cómplices o facilitadores del delito
informático. Cabe la posibilidad de que estos empleados bancarios permitan la utilización de
sus terminales informáticas y de sus usuarios y claves informáticas para la perpetración del
delito, siendo cómplices de los ciber delincuentes.
16
3. Problemas especiales en la persecución de los delitos informáticos
La complejidad de la delincuencia informática dificulta de gran manera, la aplicación del
Principio de Territorialidad de la Ley, por cuanto muchos de estos ilícitos son de origen o
carácter transnacional. En Europa, como ya mencioné anteriormente, existe el Convenio
sobre Cibercriminalidad suscrito en el año 2001, el cual ha buscado que los estados partes
adopten la idea de la “jurisdicción universal” para la persecución de los delitos informáticos,
ampliando los conceptos de acción y de resultado, propugnado también la aplicación de la
llamada teoría de la ubicuidad.
La profesora Ana Pérez Machío7 explica con claridad los conceptos relativos al principio de
jurisdicción universal y al principio de ubicuidad:
a) Principio de jurisdicción universal.- Llamado también de justicia universal, conlleva la ampliación del sistema de excepciones a la territorialidad de la ley penal, aplicada a ciertos delitos cuyo bien jurídico protegido obliga a esta persecución forzada fuera del ámbito del territorio nacional para que los responsables del ciberdelito no queden en la impunidad. Partiendo de la llamada “teoría de la acción”, habría que considerar que el lugar de origen del delito informático es aquel en que se encuentra ubicado el servidor informático desde el cual el responsable del ciberdelito lanza el ataque a través de las redes informáticas, o bien, es el espacio físico o virtual en el que almacena datos o información obtenida ilícitamente. En cambio, partiendo de la denominada “teoría del resultado”, se considera que cualquier estado puede invocar su jurisdicción para perseguir el delito informático originado en otro estado, si se establece la existencia de elementos de convicción del resultado del ciberdelito, en su territorio.
b) Principio de ubicuidad.- Respecto de esta tesis que goza de mayor aceptación doctrinaria
en la actualidad, debemos decir que para la misma no es relevante el lugar de origen o del resultado del delito informático. Existe ubicuidad cuando la jurisdicción de un estado actúa tanto en el caso de que la acción delictiva se lleve a cabo en su territorio y el resultado se produjo fuera de él, tanto como si el ilícito se originó fuera de su territorio y tuvo su resultado dentro de su territorio. El delito se entenderá cometido en cualquiera de los lugares en que se despliega la actividad del autor del hecho o donde se manifiesta el resultado típico, que de formar parte del territorio nacional permitirán la competencia de éste. Solo la atención al lugar en que se despliega la acción y al lugar en que se ejecuta el resultado puede aportar los elementos necesarios para el correcto enjuiciamiento del hecho (énfasis añadido).
7 Pérez Machío, Ana. (2012). Delincuencia Informática. Tiempos de Cautela y Amparo (pp. 273-277). Madrid:
Arazandi.
CAPÍTULO II
DELITOS INFORMÁTICOS Y ELECTRÓNICOS QUE AFECTAN A LAS INSTITUCIONES
DEL SISTEMA FINANCIERO, ESTABLECIDAS EN EL NUEVO CÓDIGO ORGÁNICO
INTEGRAL PENAL
18
1.- El nuevo Código Orgánico Integral Penal y la doctrina final de la acción
Desde el 10 de agosto del 2014 entró en vigencia el Código Orgánico Integral Penal (en
adelante COIP) que contiene en la parte sustantiva, la descripción de todos los tipos penales
en un solo cuerpo normativo, así como la aplicación de algunos presupuestos de la doctrina
mal llamada Finalismo, teoría final de la acción o búsqueda del resultado como
manifestación objetiva de la realización del tipo penal.
Conforme lo expresa Ramiro García Falconí, destacamos las siguientes novedades en el
COIP:
La dogmática derivada de una teoría subjetiva de la norma penal se impone y las consecuencias que ésta deriva, como es el caso de la ubicación del dolo en sede tipicidad, que se mantiene. No así algunos de los conceptos específicos, como la definición de culpabilidad como juicio de reproche; la propuesta de sustituir culpabilidad por responsabilidad; o la inclusión del principio de necesidad de pena, cómo parte de ésta. En lo referente a la culpabilidad se considera que como fundamento de la retribución es insuficiente y debe ser abandonado, pero el concepto de culpabilidad como concepto limitador de la pena debe seguir manteniéndose.
1
El Código Orgánico Integral Penal preceptúa que solamente las conductas penalmente
relevantes son punibles de acuerdo a las disposiciones sancionatorias de este cuerpo
normativo.
El artículo 22 del COIP dispone lo siguiente: “Conductas penalmente relevantes.- Son
penalmente relevantes las acciones u omisiones que ponen en peligro o producen
resultados lesivos, descriptibles y demostrables”.
Lo destacado de la teoría finalista es que liga el concepto de acción a la voluntad del autor,
lo cual tiene como efecto el considerar como penalmente relevante aquello que es atribuible
al autor y, entre otras consecuencias, el traslado del dolo y la culpa a la tipicidad.
1 García Falconí, Ramiro. (2014). Código Orgánico Integral Penal Comentado. Tomo I (pp. 246-248). Lima, Perú:
Ada Editores.
19
2.- Los delitos patrimoniales e informáticos en el nuevo Código Orgánico Integral
Penal con relación al ámbito bancario.
Los delitos que afectan a los clientes y productos de las instituciones del sistema financiero
privado, están tipificados en dos secciones del nuevo Código Orgánico Integral Penal: En el
Capítulo II, Delitos contra los Derechos de Libertad, Sección Novena, Delitos contra el
Derecho a la Propiedad; así como en el Capítulo III, Delitos contra los Derechos del Buen
Vivir, Sección Tercera, Delitos contra la Seguridad de los Activos de los Sistemas de la
Información y Comunicación. Para efectos de mi estudio, los he dividido en: 1) delitos
patrimoniales que se cometen por medios informáticos; y, 2) delitos informáticos y
electrónicos que afectan a los clientes, actividades y productos de las instituciones del
sistema financiero.
2.1. Delitos patrimoniales que se cometen por medios informáticos:
Art. 186 del COIP.- ESTAFA (Por medios electrónicos): La pena máxima se
aplicará a la persona que:
1.- Defraude mediante el uso de tarjeta de crédito, débito, pago o similares, cuando ella sea
alterada, clonada, duplicada, hurtada, robada u obtenida sin legítimo consentimiento de su
propietario.
2.- Defraude mediante el uso de dispositivos electrónicos que alteren, modifiquen, clonen o
dupliquen los dispositivos originales de un cajero automático para capturar, almacenar,
copiar o reproducir información de tarjetas de crédito, débito, pago o similares.
La estafa cometida a través de una Institución del Sistema Financiero Nacional o de la
economía popular y solidaria que realicen intermediación financiera mediante el empleo de
fondos públicos o de la Seguridad Social, será sancionada con pena privativa de la libertad
de siete a diez años.
COMENTARIO: Doctrinalmente, la estafa informática está considerada como un delito
que contiene los mismos elementos que la estafa ordinaria, siendo el elemento central la
conducta relativa al engaño, a la acción fraudulenta; el engaño es el desvalor de acción de
la estafa.
20
La estafa informática se trata de una adaptación legislativa para incorporar las modalidades
a través de las cuales se comete este delito, pero siempre dentro de la dogmática y criterios
interpretativos propios de la estafa. Algunos doctrinarios sostienen en cambio que el
elemento de engaño o error difiere de la estafa tradicional y que por lo tanto, la estafa
informática conlleva una nueva figura penal.
El elemento relevante que caracteriza a esta modalidad de estafa es la manipulación
informática que debe conducir como objetivo al engaño de la víctima. La apropiación de
valores lograda a través de la manipulación informática finalmente va a provocar el perjuicio
patrimonial para el tercero, como el elemento requerido en todos los supuestos de estafa. El
autor de la estafa siempre está guiado por el ánimo de lucro que es el elemento subjetivo
que completa los elementos objetivos del hecho punible.
Art. 190 del COIP.- APROPIACIÓN FRAUDULENTA POR MEDIOS ELECTRÓNICOS:
La persona que utilice fraudulentamente un sistema informático o redes electrónicas y de
telecomunicaciones para facilitar la apropiación de un bien ajeno o que procure la
transferencia no consentida de bienes, valores o derechos en perjuicio de esta o de una
tercera, en beneficio suyo o de otra persona alterando, manipulando o modificando el
funcionamiento de redes electrónicas, programas, sistemas informáticos, telemáticos y
equipos terminales de telecomunicaciones, será sancionada con pena privativa de libertad
de uno a tres años.
La misma sanción se impondrá si la infracción se comete con inutilización de sistemas de
alarma o guarda, descubrimiento o descifrado de claves secretas o encriptadas, utilización
de tarjetas magnéticas o perforadas, utilización de controles o instrumentos de apertura a
distancia, o violación de seguridades electrónicas, informáticas u otras semejantes.
COMENTARIO: En el ámbito bancario, las víctimas de este delito son las personas
naturales y jurídicas que realizan transacciones vía Internet o mediante sistemas
informáticos que utilizan redes de tráfico de datos proporcionados por la institución
financiera. La forma común en que se desenvuelve el delito se inicia cuando el
ciberdelincuente genera el ataque informático desde una terminal o servidor ubicado
generalmente en otro país distinto a aquel en que se produce el resultado del delito.
Previamente, el atacante informático ha obtenido fraudulentamente el modo de vulnerar las
claves y el acceso a la cuenta de la víctima (en muchos casos a través del pishing o
21
pharming) y logra de esta manera transferir los fondos que existen en dicha cuenta bancaria,
a la cuenta de otra persona que también consta como cliente de dicho banco, o bien a las
cuentas de usuarios de otras instituciones financieras.
En algunos casos, el beneficiario de la transferencia no autorizada desconoce que su cuenta
bancaria fue utilizada, este es el caso denominado “uso de cuentas puente”, en las cuales el
dinero transferido permanece por unas horas, mientras el ciberdelincuente elige el destino
final de los fondos obtenidos; este tipo de triangulación en el desarrollo del delito, dificulta su
persecución. El beneficiario final de los fondos suele realizar el retiro de los mismos, pero no
suelen ser personas que tienen el conocimiento para atacar las cuentas de los clientes
bancarios vía informática, son sus cómplices.
En el Código Penal anterior, vigente hasta el 9 de agosto del 2014, la apropiación ilícita por
medios informáticos, informáticos o telemáticos constituía un delito sancionado con pena
privativa de libertad desde seis meses hasta los cinco años de prisión. La nueva figura penal
contemplada en este artículo 190 del COIP, ha rebajado la pena a este tipo de delitos, hasta
los tres años de pena privativa de libertad, lo que sin duda tendrá un impacto negativo en la
relación banca-clientes, porque los ciber delincuentes se verán mayormente incentivados a
atacar las cuentas de las personas naturales clientes de los bancos, tomando en cuenta que
el primer responsable de este delito, en razón del resultado, resulta ser siempre el
beneficiario de la transferencia no autorizada desde la cuenta del afectado.
2.2. Delitos informáticos y electrónicos que afectan a los clientes, actividades y
productos de las instituciones del sistema financiero:
Art. 229 del COIP.- REVELACIÓN ILEGAL DE BASES DE DATOS: La persona que, en
provecho propio o de un tercero, revele información registrada, contenida en ficheros,
archivos, bases de datos o medios semejantes, a través o dirigidas a un sistema electrónico,
informático, telemático o de telecomunicaciones; materializando voluntaria e
intencionalmente la violación del secreto, la intimidad y la privacidad de las personas, será
sancionada con pena privativa de la libertad de uno a tres años.
Si esta conducta se comete por una o un servidor público, empleadas o empleados
bancarios internos o de instituciones de la economía popular y solidaria que realicen
22
intermediación financiera o contratistas, será sancionada con pena privativa de la libertad de
tres a cinco años.
COMENTARIO: En la Ley Orgánica de Instituciones del Sistema Financiero, artículo 94,
estuvo vigente hasta el 9 de agosto del 2014, el delito de “violación al sigilo bancario” con
pena de prisión de uno a cinco años. Esta figura penal sancionaba toda conducta de los
servidores bancarios consistente en proporcionar y divulgar información sujeta al sigilo y
reserva bancaria, esto es, la información de operaciones activas y pasivas de los clientes de
las instituciones del sistema financiero.
Podemos decir que en la actual codificación del COIP, el ámbito de protección de los datos
personales constantes en archivos físicos o informáticos, bases de datos, se ha extendido a
toda clase de actividades, siendo sancionada aquella persona que revele esta información.
Si la violación de estos datos personales los hace quien tiene la calidad de empleado
bancario, el delito constituye una agravante, sancionada con pena privativa de la libertad de
tres a cinco años.
La actuación dolosa o culposa del empleado bancario puede traer consecuencias civiles o
hasta penales a las instituciones del sistema financiero en las cuales trabaja este
funcionario.
El artículo 155 del recientemente entrado en vigencia Código Orgánico Monetario y
Financiero, establece lo siguiente: “Protección.- En los términos dispuestos por la
Constitución de la República, este Código y la ley, los usuarios financieros tienen derecho a
que su información personal sea protegida y se guarde confidencialidad”.
Los artículos 352 y 353 del mismo Código Orgánico Monetario y Financiero, consagran la
protección de la información, entendiéndose ésta como datos de carácter personal de los
usuarios del sistema financiero nacional, que reposan en las entidades de dicho sistema y
su acceso está protegido, pudiendo ser entregada esta información solamente a su titular o
a quien éste autorice.
El artículo 355 del mismo Código Orgánico Monetario y Financiero, expresa el mandato
general de que ninguna persona natural o jurídica que llegase a tener conocimiento de
información sometida a sigilo o reserva, podrá divulgarla ni en todo ni en parte. Establece
23
sanciones administrativas sin perjuicio de la responsabilidad penal que implica la divulgación
de esta información.
La formación ética de los empleados bancarios es un ítem de alta importancia dentro de las
medidas de seguridad que establecen las instituciones del sistema financiero para el
combate del cibercrimen, al igual que la desconcentración de funciones en varios
funcionarios o empleados, de manera que no se permita que un determinado funcionario
maneje muchos aspectos operacionales relacionados con el servicio al cliente a través de
medios informáticos. Es claro que la mayor vulnerabilidad que puede tener una institución
del sistema financiero privado, no son sus sistemas o redes de información, sino la
posibilidad de que sus empleados sean corrompidos y se vuelvan parte del ciberdelito a
cambio de una recompensa económica mal habida. Por supuesto, los ciberdelincuentes a
toda costa tratan de establecer contacto con funcionarios bancarios o de las empresas que
prestan servicios auxiliares operativos a las instituciones del sistema financiero, a fin que su
labor delictiva se vea facilitada. Es mucho más fácil que un delincuente informático pueda
vulnerar la red y canales de transmisión de datos a través de una computadora de un
funcionario bancario, que a través de lo que usualmente significa hacerlo desde una terminal
computacional externa.
Art. 230 del COIP.- INTERCEPTACIÓN ILEGAL DE BASES DE DATOS.- Será
sancionado con pena privativa de la libertad de tres a cinco años:
1.- La persona que sin orden judicial previa, en provecho propio o de un tercero,
intercepte, escuche, desvíe, grabe u observe, en cualquier forma un dato informático en
su origen, destino, destino o en el interior de un sistema informático, una señal o una
trasmisión de datos o señales con la finalidad de obtener información registrada o
disponible.
2.- La persona que diseñe, desarrolle, venda, ejecute, programe o envíe mensajes,
certificados de seguridad o páginas electrónicas, enlaces o ventanas emergentes o
modifique el sistema de resolución de nombres de dominio de un servicio financiero o
pago electrónico u otro sitio personal o de confianza, de tal manera que induzca a una
persona a ingresar a una dirección o sitio de internet diferente a la quiere acceder.
24
3.- La persona que a través de cualquier medio copie, clone o comercialice información
contenida en las bandas magnéticas, chips u otro dispositivo electrónico que esté
soportada en las tarjetas de crédito, débito, pago o similares.
4.- La persona que produzca, fabrique, distribuya, posea o facilite materiales,
dispositivos electrónicos o sistemas informáticos destinados a la comisión del delito
descrito en el inciso anterior.
COMENTARIO: Algunas conductas anteriormente tipificadas como parte de la figura
penal de apropiación ilícita (artículos 553.1 y 553.2 del Código Penal vigente hasta el 9 de
agosto del 2014) están incorporadas y desarrolladas en este artículo del COIP; de igual
manera, algunos elementos del delito que anteriormente se conocía como “falsificación
electrónica” (artículo 353.1 del Código Penal vigente hasta el 9 de agosto del 2013) han sido
incorporados en el numeral 3 de este artículo, pero en un amplio espectro que incluye al
skimming (robo de la información de tarjetas de crédito o débito para un uso fraudulento
posterior) y a la utilización o comercialización de las tarjetas clonadas electrónicamente. Se
sanciona también a la persona que fabrique, produzca y distribuya estos dispositivos
electrónicos de clonación, con lo cual se verifica que este delito apunta a sancionar toda
acción que conlleve la utilización de medios electrónicos para perpetrar fraudes, pero lo que
se castiga es al delito informático en sí mismo. La relación de estos delitos informáticos y
electrónicos con el ámbito bancario es evidente, ya que estos son los tipos penales que
engloban o abarcan las conductas que atacan y lesionan a los clientes bancarios y a los
productos e imagen pública de la propia institución financiera.
Art. 231 del COIP.- TRANSFERENCIA ELECTRÓNICA DE ACTIVO PATRIMONIAL.-
La persona que con ánimo de lucro, altere, manipule o modifique el funcionamiento de
programa o sistema informático o telemático o mensaje de datos, para procurarse la
transferencia o apropiación no consentida de un activo patrimonial de otra persona en
perjuicio de esta o de un tercero, será sancionada con pena privativa de libertad de tres a
cinco años.
Con igual pena, será sancionada la persona que facilite o proporcione datos de su cuenta
bancaria con la intención de obtener, recibir o captar de forma ilegítima un activo patrimonial
a través de una transferencia electrónica producto de este delito para sí mismo o para otra
persona.
25
COMENTARIO: Como elementos objetivos de este tipo penal, muy similar en su
contenido al artículo 553.1 del Código Penal ecuatoriano que estuvo vigente hasta el 9 de
agosto del 2014, tenemos los siguientes:
1.- Obtener la transferencia no consentida de bienes, valores o derechos.-
Con este elemento se elimina el problema de la disposición personal de la cosa
perteneciente a otro, exigida por el tipo general de estafa (artículo 186 del COIP). Esto en
cuanto a que en dicho tipo penal se exige por parte del sujeto pasivo, la entrega de una cosa
ajena mediante el engaño y el abuso de confianza, situación que no ocurre en el fraude
informático.
2.- Perjuicio de un tercero.- Disminución del patrimonio de la entidad financiera
o comercial o de sus clientes. Este perjuicio se produce en el momento que es modificada la
anotación en cuenta, a consecuencia de lo cual se produce la detracción del dinero contable
o escritural respecto de su legítimo titular y, al mismo tiempo, ha quedado fuera de su
ámbito de disposición mediante la transferencia al registro designado por el autor.
3.- Manipulación informática fraudulenta.- En este punto hay que tener en
cuenta las diferentes formas y técnicas que se utilizan en el fraude informático; de otro
lado, la manipulación informática fraudulenta descrita en el tipo con los verbos alterar,
manipular y modificar, se une al concepto de apropiación de un bien patrimonial ajeno en
sentido amplio.
4.- Dolo y medio fraudulento.- En la apropiación ilícita debe existir la utilización
de un medio fraudulento para el cometimiento de la infracción, cual es la manipulación
informática fraudulenta; y la intención del agente debe dirigirse en primer lugar a causar un
perjuicio económico a la víctima y, en segundo lugar, revelar el ánimo de lucro con el cual el
delincuente informático actúa.
5.- Relación de causalidad.- Se exige que exista una cadena causal entre los
elementos antes señalados; esto es, que la manipulación informática fraudulenta preceda al
perjuicio patrimonial y que estén vinculados por una relación de causalidad adecuada. Es
importante señalar que el orden de concurrencia de estos elementos no puede ser alterado,
por existir entre los distintos elementos una relación lógica y necesaria.
26
Art. 232 del COIP.- ATAQUE A LA INTEGRIDAD DE SISTEMAS INFORMÁTICOS.- La
persona que destruya, dañe, borre, deteriore, altere, suspenda, trabe, cause mal
funcionamiento, comportamiento no deseado o suprima datos informáticos, mensajes de
correo electrónico, de sistemas de tratamiento de información, telemático o de
telecomunicaciones a todo o parte de sus componentes lógicos que lo rigen, será
sancionada con pena privativa de libertad de tres a cinco años.
Con igual pena será la sancionada la persona que:
1.- Diseñe, desarrolle, programe, adquiera, envíe, introduzca, ejecute, venda o distribuya
de cualquier manera, dispositivos o programas informáticos maliciosos o programas
destinados a causar los efectos señalados en el primer inciso de este artículo.
2.- Destruya o altere sin la autorización de su titular, la infraestructura tecnológica
necesaria para la transmisión, recepción o procesamiento de información en general.
Si la infracción se comete sobre bienes informáticos destinados a la prestación de un
servicio público o vinculado con la seguridad ciudadana, la pena será de cinco a siete años
de privación de libertad.
COMENTARIO: Desarrollando los conceptos expuestos por Fernando Tomeo2, se
establece que el intrusismo informático no autorizado o acceso ilegítimo a los sistemas de
información se conoce como hacking; y a quienes alteran los sistemas informáticos
introduciéndose ilegítimamente en ellos con fines de lucro u otras finalidades, se los
denomina hackers o crackers.
La palabra hacker proviene de los reparadores de cajas telefónicas (E.E.U.U. en la década
del 50), cuya principal herramienta de reparación era un golpe seco al artefacto con fallas
(un “hack”), de ahí que se los llamó “hackers”. Puede definirse como un experto
informático que utiliza técnicas de penetración no programadas, autorizadas o
convencionales, para acceder a un sistema informático con los más diversos fines, sean
estos el satisfacer su curiosidad, superar los controles públicos o privados, probar la
vulnerabilidad del sistema para mejorar su seguridad, sustraer, modificar, dañar o eliminar
2 Tomeo, Fernando. (2014). Redes Sociales y tecnologías 2.0, 2da. Ed. (pp. 209-210). Buenos Aires, Argentina:
Astrea.
27
información; y cuyas motivaciones también responden a los más variados intereses: ánimo
de lucro, posturas ideológicas anarquistas, avidez de conocimientos, orgullo, propaganda
política, etc.
Con el tiempo y frente a las actitudes dañosas de algunos de estos individuos, la misma
cultura hacker gestó el término “crackers” para aludir a estos sujetos, diferenciándose de los
mismos por tener fines supuestamente más altruistas. Posteriormente, la doctrina receptó tal
diferenciación entre intrusismo informático ilegítimo (hacking) y sabotaje informático
(cracking), basándose en el elemento subjetivo que delimita la frontera de cada
comportamiento; mientras en el último supuesto, la intencionalidad del agente es
obstaculizar, dejar inoperante o dañar el funcionamiento de un sistema informático, en el
primer caso la acción realizada busca únicamente el ingreso a tales sistemas sin dirigir sus
actos a la afectación de la integridad o disponibilidad de la información, pero sí, a la
confidencialidad y exclusividad de la misma y también, en algunos casos, a vulnerar la
intimidad del titular de aquélla.
No obstante, existen hackers que manifiestan su accionar como una forma o filosofía de
vida, de experimentar y crear, con espíritu aventurero, sin límites ni restricciones, pero cuya
finalidad no es la de dañar. La cultura hacker de estos grupos, sostiene que son el motor de
la infraestructura informacional, puesto que pregonan la absoluta libertad de la información y
desarrollan la ingeniería necesaria para el mejoramiento de los sistemas informáticos
(software libre y seguridad de redes).
Si bien toda intrusión informática no autorizada resulta ilegítima por suponer un acto de
penetrar o violentar las barreras de seguridad predispuestas por su titular para proteger
información privada o confidencial, para acceder al sistema da datos, o lo que es lo mismo,
el ingreso ilícito del ciberdelicuente contra la voluntad presunta del afectado, no es posible
incluir en este presupuesto a los técnicos informáticos que desarrollan seguridad de redes,
denominados “hackers éticos” quienes poseen autorización o consentimiento expreso del
titular del sistema para verificar la seguridad de un servidor, terminal computacional o redes
de comunicación.
Es lógico pensar, entonces, que en ambientes determinados (empresariales por ejemplo),
con controles y reglas básicas y bajo los pertinentes acuerdos contractuales, el intrusismo
informático constituya una actividad lícita, obviamente, exenta de sanción penal alguna, por
28
ausencia de antijuridicidad y de dolo, ya que la voluntad y conocimientos del técnico
especializado está orientada al descubrimiento de intrusiones o alteraciones del sistema
informático que analiza, a través del uso de programas o test autorizados.
La clasificación que realiza Fernando Tomeo considera los siguientes tipos de hackers3:
a) “Black hats”: Suelen practicar actividades ilícitas con fines lucrativos, rompiendo sistemas de seguridad de computadoras, realizar entradas remotas no autorizadas, colapsar servidores, entrar a zonas restringidas, infectar redes o apoderarse de ellas.
b) “White hats”: También llamados “hackers éticos”, son personas que trabajan para empresas de desarrollo de programas informático, protegiendo y reparando errores en los sistemas.
c) “Blue hats”: Trabajan en un entre oficial del Estado o en una empresa de seguridad que
intenta identificar los problemas potencialmente dañosos.
d) “Script-kiddies”: Son hackers que carecen de experiencia y ejercen formas básicas de hacking; por ejemplo, buscan y descargan programas y herramientas de intrusión informática, para luego ejecutarlos como simple usuario, sin preocuparse del funcionamiento interno de éstos ni de los sistemas sobre los que funcionan.
e) “Hacktivistas”: La motivación por la cual estas personas “hackean” se asocian a movimientos
ideológicos concretos, relacionados con alguna causa social, promoviendo cambios en los modos de vida, de la libertad del conocimiento y la justicia social.
f) “Hackers de élite”: Pertenecen a uno o varios colectivos virtuales oscuros y prestigiosos y se consideran los más expertos de todos.
3 Tomeo Fernando, Ibíd., pp. 210-211.
CAPÍTULO III
TEORÍA DEL CASO DE LOS DELITOS INFORMÁTICOS Y ELECTRÓNICOS QUE
AFECTAN A LAS INSTITUCIONES DEL SISTEMA FINANCIERO
30
1.- ¿Qué es la teoría del caso?
En el juicio oral rige el principio de la contradicción. El fiscal y el defensor exponen su
relación de los hechos en los alegatos de apertura, en los interrogatorios y en los alegatos
de cierre. Todo esto implica que las partes deben diseñar su teoría del caso, desarrollar un
conjunto de habilidades y destrezas, aportar pruebas, así como realizar interrogatorios
adecuados.
El profesor Luis Felipe Valdivieso Arias establece que: “Teoría del Caso es el planteamiento
técnico que desarrolla y argumenta cada una de las partes dentro de un procedimiento, sea
en defensa o en acusación. Es una metodología de análisis de los hechos relevantes, de las
pruebas, la participación de los imputados y de las circunstancias de la infracción”1.
La teoría del caso, para que sea útil, debe cumplir con las siguientes condiciones:
a) Debe ser lógica: Los hechos planteados deben coincidir y guardar armonía con
los planteamientos conceptuales y jurídicos de la exposición en causa. La concordancia
lógica debe ser sincrónica para cada una de las deducciones o inferencias que se van a
debatir, tanto en lo fáctico como en lo jurídico.
b) Debe ser creíble: El planteamiento que se expone como teoría del caso, debe
ser extremadamente creíble, confiable y bastante apegado a la realidad de los hechos para
lograr explicarse por sí mismo, como un acontecimiento humano real, acorde con el sentido
común y las reglas de la experiencia. También debe ser persuasivo, a tal punto que
convenza a los demás de lo que se considera como cierto y que evidentemente debe ser
sensato.
c) Legalmente suficiente: Todo razonamiento jurídico debe soportarse en el
Principio de Legalidad y, por tanto, debe llenar desde el punto de vista del acusador todos
los elementos de la conducta punible y de la culpabilidad. Desde el punto de vista del
abogado defensor, debe determinar la falta de algún elemento de la conducta o de la
responsabilidad, o el incumplimiento de antecedentes jurisprudenciales que fijan el alcance
1 Valdivieso Arias, Luis Felipe. (2012). Seminario: Litigación Oral en Materia Penal (p. 38). Loja, UTPL.
31
de la norma o la violación o inexistencia de los procedimientos que garantizan la
autenticidad de los medios de prueba (cadena de custodia).
d) Debe ser concreta pero flexible: Porque siempre se concibe un plan inicial de
cómo será un juicio, pero éste está sujeto a imprevistos que forman parte de un sistema
adversarial. La teoría del caso debe ser suficientemente flexible para adaptarse o
comprender los posibles desarrollos del proceso sin cambiar radicalmente, porque este tipo
de cambio acabaría con la credibilidad de cualquier sujeto procesal.
Una buena teoría del caso es aquella que contiene una hipótesis sencilla sobre los hechos y
una adecuación típica de los mismos, sin que se recaiga en sofisticados razonamientos
fácticos o dogmáticos; que es creíble y de formulación lógica, logrando explicar
congruentemente la mayor cantidad de hechos que sustenten la propia pretensión,
recogiendo inclusive aquellos puntos que forman parte de la teoría del caso de la
contraparte que pueden fortalecernos, temas que van dilucidándose en el transcurso del
juicio.
2.- Componentes o elementos de la teoría del caso
Concordando con el doctor Alfonso Zambrano Pasquel2, determinamos que los tres
elementos relevantes de la Teoría del Caso, son los siguientes:
2.1. Elemento fáctico: Es la identificación de los hechos relevantes o conducentes
para comprobar la responsabilidad o no responsabilidad del procesado, hechos que
deben ser reconstruidos durante el debate oral, a través de las pruebas. Los hechos
contienen las acciones con circunstancias de tiempo, los lugares o escenarios, los
personajes y sus sentimientos, el modo de ocurrencia, los instrumentos utilizados, y el
resultado de la acción o acciones realizadas.
El aspecto fáctico lo constituyen los hechos relevantes, afirmaciones o proposiciones
fácticas que queremos que acepte el juzgador para establecer lo jurídico. Lo fáctico sustenta
lo jurídico, siendo la identificación de los hechos conducentes para comprobar la
responsabilidad o no responsabilidad del procesado, hechos que deben ser reconstruidos
2 Zambrano Pasquel, Alfonso. (2013). Estudio Introductorio al Código Orgánico Integral Penal, referido al Libro
Segundo, Tomo III (pp. 135-145). Quito: Corporación de Estudios y Publicaciones.
32
durante el debate oral, a través de las pruebas. Los hechos contienen las acciones con
circunstancias de tiempo, los lugares o escenarios, los personajes y sus sentimientos, el
modo de ocurrencia, los instrumentos utilizados y el resultado de las acciones realizadas.
2.2. Elemento probatorio: Nos permite establecer cuáles son las pruebas pertinentes
para establecer la certeza de la ocurrencia de la conducta punible y de la responsabilidad
del acusado, como supuestos de una sentencia condenatoria para la Fiscalía. O bien la
ausencia o deficiencia de estos requisitos en el caso de la defensa, fallas procedimentales
esenciales o la ruptura de la cadena de custodia que hace perder la autenticidad de la
prueba. La teoría probatoria es el modo de comprobar ante el juez, los planteamientos
formulados.
Frente al conocimiento de los hechos relevantes, existe la determinación y la clasificación de
las pruebas que demuestran cada supuesto, permitiéndonos esto saber qué fortalezas y
debilidades tiene nuestra teoría del caso, para concluir si hay lugar a formular acusación
cuando se trata de la Fiscalía; o para saber qué tan comprometida está la responsabilidad
del procesado, cuando se trata del defensor. Lo probatorio consiste en examinar las pruebas
que queremos presentar para establecer lo fáctico. El elemento probatorio sustenta la teoría
fáctica y la jurídica.
En el campo probatorio se cuentan todos los elementos de prueba, para establecer la
materialidad del hecho; se desarrollan las pruebas testimoniales, documentales y materiales
y se establece su peso o valor dentro del proceso.
2.3. Elemento jurídico: Consiste en el encuadramiento jurídico de los hechos dentro de
las disposiciones legales, tanto sustantivas como procedimentales. Es el análisis de los
elementos de Derecho, de aquello que queremos establecer. Para el abogado defensor esto
significa examinar los elementos de la conducta punible, para determinar si hace falta
alguno de ellos. Puede acontecer que se formule una teoría del caso para cambiar el grado
de responsabilidad del procesado y así lograr la diminución de la pena, por ejemplo, cuando
se indica que el procesado actuó como cómplice o que existen causas de justificación en su
actuación.
33
3.- Desarrollo de la teoría del caso, en dos (2) ejemplos prácticos aplicados al sistema
bancario, de delitos cometidos a través de medios informáticos y electrónicos, desde
las perspectivas estratégicas de la Fiscalía y de la defensa del procesado.
N° 1: TEORÍA DEL CASO DE LA FISCALÍA3
a) TÍTULO: CASO COMPAÑÍA EXPERIMENTAL, TRANSFERENCIAS FRAUDULENTAS
ENTRE CUENTAS DEL MISMO BANCO, UTILIZANDO MEDIOS INFORMÁTICOS.
b) RELATO DE LOS HECHOS
En el mes de febrero del 2013, el señor Benito Coba Claudio fue reemplazado en el cargo
de Gerente General de la compañía Experimental, ubicada en la ciudad de Quito, conforme
se desprende del nombramiento del nuevo gerente de dicha compañía. Por errores de tipo
operativo, el Banco Equinoccio, institución financiera en la cual la compañía Experimental
mantiene una cuenta, no revocó los accesos (usuario y clave) del señor Benito Coba a la
plataforma Internet de empresas denominada CASH MANAGEMENT, a través de la cual, se
podía verificar los saldos contables de la cuenta de la empresa Experimental, con el perfil
Operador, así como se podía realizar transacciones con el perfil FULL, que en dicha
compañía fue asignado al Gerente General, que era el señor Benito Coba. El nuevo gerente
de la compañía Experimental, había solicitado por escrito, la revocación del usuario y claves
del ex gerente, en el mes de marzo del 2013.
En el mes de abril del 2013, el señor Benito Coba Claudio, desde una terminal
computacional, realiza tres transferencias de dinero desde la cuenta de la compañía
Experimental, con destino a su cuenta personal del Banco Equinoccio, por un valor total de
USD$ 21.000. Estas acciones generaron la presentación de un reclamo del actual gerente
de la empresa Experimental, al Banco Equinoccio, entidad del sistema financiero que
resolvió aceptar el reclamo y, mediante convenio suscrito con la compañía Experimental en
el mes de mayo del 2013, acreditó a la cuenta de Experimental, la suma de USD$ 21.000,
asumiendo el monto total del perjuicio de su cliente.
3 Este primer ejercicio práctico ha sido formulado en base a un caso real que se suscitó en la ciudad de Quito.
Los nombres de los sujetos intervinientes han sido cambiados para proteger su derecho constitucional a
la intimidad y a la privacidad.
34
En el mes de junio del 2013, Banco Equinoccial presenta denuncia ante la Fiscalía por el
delito de apropiación ilícita por medios informáticos y electrónicos, la misma que fue
tramitada en las fases de indagación previa e instrucción fiscal, por parte de la Fiscalía N° 4
de Patrimonio Ciudadano de Pichincha.
c) ALEGATO DE APERTURA
En esta audiencia vamos a demostrar que el señor Benito Claudio Coba, utilizando
dolosamente su usuario y clave de acceso al sistema CASH MANAGEMENT del Banco
Equinoccial (Banca Empresas) cuando ya no ostentaba la calidad de Gerente General de la
Compañía Experimental, procedió a realizar tres transferencias por el valor de USD$ 21.000,
perjudicando de esta manera a la mencionada compañía, dinero que tuvo como destino su
cuenta bancaria personal. Vamos a demostrar también que en el mes de abril del 2013, el
usuario y clave informáticos del señor Benito Claudio se encontraban activos con perfil full
de operaciones, y que por ende, el procesado tuvo los elementos necesarios y el dominio
del hecho, para cometer el delito de apropiación ilícita por medios informáticos.
d) TEORÍA JURÍDICA
La conducta del procesado Benito Coba Claudio se subsumió en el tipo penal establecido
actualmente en el artículo 190 del Código Orgánico Integral Penal, anteriormente, articulo
553.1 del Código Penal que estuvo vigente hasta el 9 de agosto del 2014; esta es la norma
penal aplicable a la fecha en que se cometió la infracción (abril del 2013).
El sujeto activo de la infracción en calidad de autor fue el señor Benito Claudio Coba.
La víctima o perjudicado por la infracción fue la compañía Experimental, de la cual el señor
Coba fue su Gerente General. El bien jurídico protegido es la propiedad, en este caso de los
dineros que pertenecen a la compañía Experimental y que se hallan depositados en la
cuenta de dicha compañía en el Banco Equinoccial. El medio idóneo para la realización del
tipo penal fue la utilización de medios informáticos (sistema CASH MANAGEMENT a través
de Internet, utilizando su usuario y clave que no habían sido revocados) de manera
fraudulenta.
35
e) PROPOSICIONES FÁCTICAS
- Benito Coba Claudio cesó en sus funciones como Gerente de la compañía Experimental,
en el mes de febrero del 2013, por lo tanto, cualquier actuación realizada a nombre de la
compañía o en operaciones con dinero de la compañía, a partir del mes de marzo del 2013,
es indebida y por ende ilegal, antijurídica.
- El Banco Equinoccial cometió un grave error operativo, al no revocar el usuario y clave
informática del señor Benito Coba Claudio, a pesar de la petición escrita del gerente actual
de la compañía Experimental.
- El señor Benito Coba Claudio se aprovechó de la condición de vigencia de su clave y
usuario y perfil FULL en el sistema CASH MANAGEMENT del Banco Equinoccial, para
efectuar transferencias por el valor total de USD$ 21.000, originando el egreso de fondos en
la cuenta de la compañía Experimental, con destino a su cuenta personal del mismo Banco.
- Se desconoce la dirección de la terminal IP (protocolo de internet) desde la cual el señor
Benito Coba Claudio realizó las transacciones denunciadas como ilícitas, pero
inequívocamente el destino de estas transferencias fraudulentas fue su cuenta en el Banco
Equinoccial.
- La compañía Experimental fue víctima de la sustracción de sus fondos a través de la
plataforma informática CASH MANAGEMENT, siendo víctima o perjudicado por la
infracción, perjuicio económicamente reparado por el Banco Equinoccial, mediante convenio
suscrito en mayo del 2013.
- El señor Benito Coba Claudio alega que las transferencias realizadas desde la cuenta de la
compañía Experimental, a su cuenta personal, las hizo en virtud de una supuesta “deuda”
que mantenían con él los otros socios de la compañía Experimental, entre ellos, el actual
gerente de dicha empresa.
f) PRUEBAS
En el presente caso, a fin de poder probar la teoría del caso, tenemos identificadas pruebas
testimoniales, documentales y periciales.
36
I. Prueba testimonial:
- Testimonio del Ingeniero Daniel Villarreal Pastaza, actual gerente de la compañía
Experimental.
- Testimonio de los señores Carlos Bueno García y Rita Fernández Ordoñez, funcionarios
del Banco Equinoccial, Área de Cash Management.
- Testimonio de Alfredo Antonio Donoso Cevallos, socio de los señores Benito Coba Claudio
y Daniel Villarreal Pastaza en la compañía Experimental.
- Testimonio del perito, Cabo de Policía Juan Chicaiza Solano, quien realizó la diligencia de
reconocimiento del lugar de los hechos.
- Testimonio del Economista Oswaldo Pavón Herrera, perito contable acreditado ante el
Consejo de la Judicatura.
- Testimonio de los Ingenieros Diego Pánchez Villalba y Rafael Melgarejo Heredia, peritos
informáticos debidamente acreditados ante el Consejo de la Judicatura.
II. Prueba documental:
- Nombramiento del señor Daniel Villarreal Pastaza en calidad de gerente general de la
compañía Experimental, en el mes de marzo del 2013.
- Oficio del señor Daniel Villarreal Pastaza dirigido al Banco Equinoccial en el mes de marzo
del 2013, solicitando la revocación del usuario y claves informáticos del ex gerente de la
empresa Experimental, señor Benito Coba Claudio.
- Documentos de soporte del CASH MANAGEMENT del perfil Operador (asignado al señor
Alfredo Antonio Donoso Cevallos) y del perfil Full (asignado al señor Benito Coba Claudio).
- Documentos de transacción generados por el CASH MANAGEMENT, en los cuales se
registran las transferencias con destino a la cuenta del señor Benito Coba Claudio.
37
- Convenio suscrito entre el Banco Equinoccial y la empresa Experimental, para la
acreditación de los USD$ 21.000 del perjuicio, en mayo del 2013.
- Movimientos bancarios de la cuenta de la compañía Experimental y de la cuenta del señor
Benito Coba Claudio, correspondientes al mes de abril del 2013, información proporcionada
por el Banco Equinoccial.
III. Prueba pericial:
- Informe pericial informático realizado por los Ingenieros Diego Pánchez Villalba y Rafael
Melgarejo Herrera.
- Informe pericial contable presentado por el Economista Oswaldo Pavón Herrera.
- Informe N° 342-PJP de reconocimiento del lugar de los hechos, suscrito por el Cabo de
Policía, Juan Chicaiza Solano.
g) FORTALEZAS
- Existen los elementos necesarios que demuestran el resultado del delito, es decir, a qué
cuenta fue transferido el dinero de la empresa Experimental;
- Existe el testimonio del asociado común de los señores Benito Coba Claudio y Daniel
Villarreal Pastaza, quien afirma que la empresa Experimental no adeudaba ningún concepto
al señor Benito Coba Claudio.
- La prueba pericial informática demuestra el proceso de transacciones que se originaron en
la cuenta de la empresa Experimental y que tuvieron como destino la cuenta del señor
Benito Coba Claudio, en el mes de abril del 2013.
- La documentación de soporte del sistema CASH MANAGEMENT demuestra que
solamente el señor Benito Coba Claudio, en su calidad de gerente general de la compañía
Experimental, estaba habilitado con perfil FULL, esto es, la capacidad para realizar
transferencias de dinero desde la cuenta de la compañía Experimental.
38
- El convenio suscrito entre el Banco Equinoccial y la compañía Experimental, demuestra
que el perjuicio que sufrió la empresa Experimental fue ocasionado por un agente externo,
cuya acción se vio facilitada por un error administrativo-operativo de los funcionarios del
Área de CASH MANAGEMENT del Banco Equinoccial.
h) DEBILIDADES
- En el informe pericial informático existe determinada la dirección IP de un terminal
computacional cuya dirección física, si bien corresponde a la ciudad de Quito, no tiene
relación con alguna ubicación relacionada con el señor Benito Coba Claudio.
- Los peritos informáticos no pudieron determinar la dirección MAC, que es el identificador
único de la tarjeta de red de una computadora en este caso, lo que implica que el delito
debería ser considerado únicamente por su resultado final, es decir, por el destino de la
acreditación de los fondos de la compañía Experimental en la cuenta del señor Benito Coba
Claudio.
- Existe un error operativo bancario que facilita la comisión del delito, lo que podría ser
interpretado como una condición de autorización del Banco Equinoccial al señor Benito
Coba Claudio, para que el mismo siguiese actuando con perfil FULL de operaciones, a
través del sistema CASH MANAGEMENT, en la cuenta de la compañía Experimental.
I) INTERROGATORIOS
1) Preguntas introductorias:
A los señores peritos.
Indique al Tribunal de Garantías Penales sobre su experiencia profesional.
A los testigos de cargo.
Explique las funciones que desempeñaba en el Banco Equinoccial o en la compañía
Experimental.
39
2) Preguntas de relación de los testigos con los hechos:
A los señores peritos informáticos.
¿Qué observó en los logs o registros informáticos de respaldo extraídos de los servidores
del Banco Equinoccial, relativos a las transacciones de la cuenta de la compañía
Experimental, correspondientes a los días 18, 19 y 21 de abril del 2013?
Al señor Daniel Villarreal Pastaza, actual Gerente de la compañía Experimental.
¿La compañía Experimental mantenía alguna deuda con el señor Benito Coba Claudio a la
fecha en que éste cesó en sus funciones como gerente general de la empresa
Experimental?
A los funcionarios del Banco Equinoccial.
¿Cómo se llevó a cabo el trámite de revocación del usuario y clave del señor Benito Coba
Claudio en el sistema CASH MANAGEMENT, posterior a la presentación de la carta suscrita
por el señor Daniel Villarreal Pastaza?
3) Preguntas de descripción:
Al señor perito contable.
¿Qué tipo de transacciones identificó en su examen, relacionadas con operaciones de
transferencias bancarias realizadas entre las cuentas de la compañía Experimental y el
señor Benito Coba Claudio?
A los funcionarios del Banco Equinoccial.
Describa el proceso de transferencias que se realiza a través del sistema CASH
MANAGEMENT.
40
Al señor Alfredo Antonio Donoso Cevallos, ex socio del señor Benito Coba Claudio.
Explique en qué consistían las operaciones o transacciones que usted podía realizar con el
perfil OPERADOR en el sistema Cash Management.
¿Eran iguales las funciones que podía realizar el perfil OPERADOR respecto del perfil FULL
en el sistema CASH MANAGEMENT?
J) ALEGATO DE CLAUSURA
Fiscalía ha probado la existencia material de la infracción, con los siguientes elementos:
Testimonio del actual gerente de la compañía Experimental, señor Daniel Villarreal Pastaza,
quien ha indicado que tiene la calidad de gerente general de la compañía Experimental,
desde el mes de marzo del 2013, y para ello ha presentado copia debidamente notarizada
de su nombramiento vigente por dos años; testimonio del procurador judicial del Banco
Equinoccial, doctor Luis Sempértegui Fernández, quien ha demostrado la calidad de
perjudicado que tiene el Banco, presentando ejemplar debidamente protocolizado del
convenio suscrito entre el Banco Equinoccial y la compañía Experimental; testimonios de
Carlos Bueno García y Rita Fernández Ordoñez, funcionarios del Banco Equinoccial,
quienes han descrito cuál fue el tratamiento que dieron a la solicitud presentada por parte
del señor Daniel Villarreal Pastaza, actual gerente general de la compañía Experimental.
Han reconocido que por errores operativos no deshabilitaron el usuario y la clave de acceso
del señor Benito Coba Claudio, en el mes de marzo del 2013, realizándolo sin fallas, en el
mes de mayo del 2013, cuando las transacciones materia de la investigación penal ya
fueron efectuadas, alertados por la carta de reclamo que presentó el señor Daniel Villarreal
Pastaza al Banco Equinoccial; Testimonio de Alfredo Antonio Donoso Cevallos, socio de los
señores Benito Coba Claudio y Daniel Villarreal Pastaza en la compañía Equinoccial, quien
manifestó que en calidad de miembro directivo de la compañía Experimental, podía
únicamente visualizar los saldos y movimientos de la cuenta de la empresa Experimental en
el sistema CASH MANAGEMENT, indicó que su perfil era OPERADOR y no full, y que en
calidad de OPERADOR, alertó al señor Daniel Villarreal Pastaza respecto de las
transferencias fraudulentas realizadas por parte del señor Benito Coba Claudio, cuando
realizó la revisión mensual de los saldos de cuenta de la empresa Experimental, a finales del
mes de abril del 2013; testimonio del Cabo de Policía Juan Chicaiza Solano, quien realizó la
diligencia de reconocimiento del lugar de los hechos, estableciendo la dirección de la
41
compañía Experimental en la ciudad de Quito; testimonio del Economista Oswaldo Pavón
Herrera, perito contable acreditado ante el Consejo de la Judicatura, quien ha indicado que
su examen determina que ha existido un egreso de activo patrimonial de la cuenta de la
compañía Experimental, por el valor de USD$ 21.000, que ha tenido como destino la cuenta
que tiene en el Banco Equinoccial el señor Benito Coba Claudio; y, el testimonio de los
Ingenieros Diego Pánchez Villalba y Rafael Melgarejo Heredia, peritos informáticos
debidamente acreditados ante el Consejo de la Judicatura, quienes han referido
detalladamente respecto del funcionamiento del sistema CASH MANAGEMENT y han
explicado informáticamente la forma en que se realizó las transferencias de fondos,
originándose ésta en la cuenta de la compañía Experimental, con destino a la cuenta
personal del señor Benito Coba Claudio, ambas activas en el Banco Equinoccial.
La materialidad de la infracción ha quedado comprobada también, con los documentos
relativos al convenio suscrito entre la compañía Experimental y el Banco Equinoccial, en el
mes de mayo del 2013, así como con los documentos generados del sistema CASH
MANAGEMENT que acreditan la transferencias de fondos desde la cuenta de la empresa
Experimental, con destino a la cuenta personal del señor Benito Coba Claudio. De igual
forma, se hallan presentados los informes de reconocimiento del lugar de los hechos, pericia
informática y pericia contable.
Respecto a la participación y responsabilidad del señor Benito Coba Claudio en los hechos
que se han investigado, debemos indicar que el procesado no ha logrado justificar el motivo
de las transferencias que realizó con destino a su cuenta, en el mes de abril del 2013; no ha
presentado documentos justificativos de que la compañía Experimental mantuviese una
deuda con su persona, tal como lo supo manifestar en su testimonio. Los documentos que
ha presentado en juicio, se refieren a negocios realizados con sus ex socios, señores Daniel
Villarreal Pastaza y Alfredo Antonio Donoso Cevallos, negocios que no involucran el capital
social o el patrimonio de la compañía Experimental. Y aún en el supuesto de que la
compañía hubiese debido algo al actual procesado, su actuación arbitraria respecto de los
fondos de la compañía Experimental, es antijurídica, pues aprovechó el hecho de que su
usuario y clave no fueron revocados por el Banco Equinoccial, para realizar transferencias
de dinero a su cuenta personal, con plena conciencia y voluntad de que sus acciones eran
ilegales, ya que había dejado de ser administrador de la compañía Experimental, en el mes
de marzo del 2014.
42
Conforme al artículo 65 del Código de Procedimiento Penal vigente al momento de la
comisión del delito, se han practicado todos los actos idóneos y necesarios para probar la
responsabilidad y materialidad del presente delito (nexo causal, actual artículo 455 del
COIP), habiéndose configurado en este caso la conducta descrita en el artículo 553.1 del
Código Penal vigente al momento de la comisión del delito (artículo 190 del actual COIP),
puesto que el señor Benito Coba Claudio, teniendo el dominio del hecho, y con plena
conciencia y voluntad, procedió a transferirse a su cuenta personal, la suma de USD$
21.000 desde la cuenta de la compañía Experimental, aprovechándose del error operativo
en que incurrió el Banco Equinoccial, institución que facilitó la consumación del ilícito, y cuya
responsabilidad por negligencia fue causa de la reparación económica a la empresa
Experimental, mediante el convenio suscrito en el mes de mayo del 2013 con el actual
gerente general de la compañía Experimental, señor Daniel Villarreal Pastaza.
El señor Benito Coba Claudio tiene la calidad de AUTOR de la infracción cometida en contra
de la empresa Experimental, cuyo perjuicio económico asumió el Banco Equinoccial,
conforme lo demostró la pericia contable. Se violentó por parte del procesado el derecho de
propiedad consagrado en la Constitución de la República vigente, artículo 66, numeral 26;
en consecuencia, al haberse cumplido todos los requisitos que exigen los artículos 304-A y
312 del Código de Procedimiento Penal vigente a la fecha de la comisión de la infracción
(actual artículo 622 del COIP), pido, señores jueces, que al procesado se le aplique el
máximo de la pena privativa de libertad contemplada en el artículo 553.1 del Código Penal
vigente a la fecha de la infracción (actual artículo 190 del COIP) y que además se lo
condene a la reparación económica integral al actual afectado económico, Banco
Equinoccial, por la suma de USD$ 21.000 más los intereses de Ley generados por esa
suma de dinero, y, la condena del pago de costas procesales.
43
N° 2: TEORÍA DEL CASO DE LA DEFENSA DEL PROCESADO4
a) TÍTULO: COMPRAS ELECTRÓNICAS FRAUDULENTAS EN MEGAMAXI DE LA
CIUDAD DE QUITO.
b) RELATO DE LOS HECHOS
En fecha 15 de junio del 2012, el señor Edison Sango Páez fue detenido en las instalaciones
del MEGAMAXI ubicado en el Centro Comercial El Recreo de la ciudad de Quito, realizando
compras con una tarjeta prepago PACIFICARD. Cuando se acercó a la caja N° 15 del local
comercial, iba a realizar la compra de un equipo de sonido valorado en USD$ 850, pero el
cajero de Megamaxi, señor Fernando Vinicio Mena Bonilla, advirtió que cuando procesó la
transacción de pago con la tarjeta Prepago PACIFICARD del señor Sango, al imprimirse el
voucher, los dos últimos números de los cuatro que salen, y que son correspondientes a la
tarjeta que se presenta al pago, NO coincidían con los de la tarjeta que se entregó para el
pago. Ante esta situación, el señor Edison Sango fue detenido por los guardias de
Megamaxi, quienes inmediatamente llamaron a la Policía Nacional, que realizó y legalizó la
detención.
La tarjeta prepago PACIFICARD que estaba en poder del señor Edison Sango Páez, tenía
inserta una banda magnética que contenía los datos y códigos electrónicos de una tarjeta
Visa Banco Continental, cuyo titular era el señor Jonás Merlo Hidalgo. Al realizarse las
constataciones respectivas por parte del Banco, se determinó que en el período
comprendido entre el 1 de junio y el 15 de junio del 2012, el señor Edison Sango Páez había
realizado compras en los almacenes Megamaxi y Santa María, en las ciudades de Quito y
Ambato, con cargo a la tarjeta de crédito Visa del señor Jonás Merlo Hidalgo, por un monto
aproximado de USD$ 12.000, no obstante de lo cual, al momento de ser detenido, se
constató únicamente las compras que había realizado por una suma total de USD$ 1.560.
4 Este segundo ejercicio práctico ha sido formulado en base a un caso real que se suscitó en la ciudad de Quito.
Los nombres de los sujetos intervinientes han sido cambiados para proteger su derecho constitucional a
la intimidad y a la privacidad.
44
c) ALEGATO DE APERTURA
En esta audiencia voy a demostrar que mi defendido, señor Edison Sango Páez, fue víctima
de una estafa de tipo comercial, y que las compras que realizó en el local del Megamaxi de
la ciudad de Quito, las hizo con absoluto desconocimiento de la circunstancia que se indica
ha tenido la tarjeta prepago PACIFICARD, esto es, que la banda magnética inserta en la
misma, ha sido previamente clonada de una tarjeta VISA del señor Jonás Merlo Hidalgo y
luego insertada en dicha tarjeta prepago.
Voy a demostrar también que no existe el delito de uso doloso de documento falso que ha
acusado la Fiscalía, y que mi defendido no tiene el conocimiento ni la capacidad de efectuar
clonación de tarjetas o copia electrónica de claves.
d) TEORÍA JURÍDICA
La Fiscalía de Pichincha ha acusado al señor Edison Sango Páez por el delito tipificado en
el artículo 340 del Código Penal, en concordancia con el artículo 341 del mismo cuerpo
legal, vigente a la fecha de comisión del delito, esto es, utilización dolosa de documento
privado falso. Sin embargo, los hechos se encuadran presuntamente en lo establecido por el
artículo 353.1 del mismo Código Penal, en relación con la falsificación electrónica de la cual
fue objeto la banda magnética de la tarjeta de crédito VISA del señor Jonás Merlo Hidalgo.
Para que exista autoría en el presente caso, el sujeto responsable de la infracción debe
incurrir en alguna de las modalidades establecidas en el artículo 42 del actual COIP:
Autoría directa
Quienes cometan la infracción de una manera directa e inmediata.
Quienes no impidan o procuren impedir que se evite su ejecución teniendo el deber
jurídico de hacerlo.
45
Autoría mediata
Quienes instiguen o aconsejen a otra persona para que cometa una infracción,
cuando se demuestre que tal acción ha determinado su comisión.
Quienes ordenen la comisión de la infracción valiéndose de otra u otras personas,
imputables o no, mediante precio, dádiva, promesa, ofrecimiento, orden o cualquier
otro medio fraudulento, directo o indirecto.
Quienes por violencia física, abuso de autoridad, amenaza u otro medio coercitivo,
obliguen a un tercero a cometer la infracción, aunque no pueda calificarse como
irresistible la fuerza empleada con dicho fin.
Quienes ejerzan un poder de mando en la organización delictiva.
e) PROPOSICIONES FÁCTICAS
- El señor Edison Sango Páez, adquirió una tarjeta prepago PACIFICARD en el mes de
mayo del 2012, a través de una oferta comercial.
- El señor Edison Sango Páez, ignoraba que en la tarjeta prepago PACIFICARD había sido
insertada una banda magnética que correspondía a la copia o clonación de los datos
electrónicos de la tarjeta de crédito VISA del señor Jonás Merlo Hidalgo.
- El señor Edison Sango Páez era comprador de buena fe el día 15 de junio del 2014, pues
presenta una tarjeta PACIFICARD en la cual está grabado su nombre. Las compras las
realiza por el valor de USD$ 1.560 y fue detenido por los guardias del Megamaxi únicamente
por “apresurarse al realizar las compras”.
- El señor Edison Sango Páez, no tiene conocimientos técnicos para realizar una operación
de clonación electrónica de tarjetas. Es padre de familia, gana un sueldo en una institución
privada y su trabajo no tiene relación con temas informáticos, electrónicos o de la banca o
instituciones de crédito.
46
- No existen pruebas testimoniales que acrediten las compras realizadas por mi defendido,
entre el 1 y el 14 de junio del 2015, en los almacenes de Supermaxi y Santamaría. El
reclamo presentado por parte del señor Jonás Merlo Hidalgo referente a los consumos que
se acreditaron a su tarjeta de crédito VISA, no es prueba de que el señor Edison Sango
Páez los haya realizado.
- El perjudicado u ofendido por la presunta infracción es el señor Jonás Merlo Hidalgo, quien
no ha comparecido a juicio. El Banco Continental que es la institución financiera que emite la
tarjeta VISA, no puede invocar la calidad de ofendido por la infracción, pese a haber
presentado acusación particular, puesto que no cumple con los presupuestos del artículo 68
del Código de Procedimiento Penal vigente a la fecha de comisión del delito (víctima del
delito según el actual artículo 441 del COIP).
f) PRUEBAS
En el presente caso, a fin de poder probar la teoría del caso, tenemos identificadas pruebas
testimoniales, documentales y periciales.
I. Prueba testimonial:
- Testimonio del señor Edwin Pazmiño Sagbay, Subteniente de Policía que realizó la
detención de Edison Sango Páez, el 15 de junio del 2012.
- Testimonio del señor Hugo Vidal Méndez, guardia de seguridad del Centro Comercial
Megamaxi.
- Testimonio de la señorita Magdalena Bedoya Ruiz, cajera de MEGAMAXI, quien receptó el
pago de USD$ 400 por compras de alimentos por parte del señor Edison Sango Páez, el
mismo día 15 de junio del 2012, sin que se presenten problemas.
- Testimonio del Ingeniero Milton Efraín Jaque Tarco, perito informático del Laboratorio de
Criminalística de la Policía Judicial de Pichincha.
- Testimonio del Cabo de Policía Moisés Alipio Beltrán Castro, perito documentológico del
Laboratorio de Criminalística de la Policía Judicial de Pichincha.
47
- Testimonio de la señora Rita Maldonado Maridueña sobre la honorabilidad de Edison
Oswaldo Sango Páez.
- Testimonio del Economista Oswaldo Víctor Rodríguez Ojeda, ministro de culto evangélico,
sobre el comportamiento y honorabilidad de Edison Oswaldo Sango Páez.
II. Prueba documental:
- Certificados de referencias comerciales, otorgados por instituciones del sistema financiero
y almacenes de la ciudad de Quito.
- Certificados que acreditan honorabilidad del señor Edison Sango Páez.
- Certificado único conferido por los Tribunales de Garantías Penales de Pichincha, de que
el señor Edison Sango Páez no está siendo juzgado por ningún delito de acción pública
diferente al de la presente causa.
- Certificado único conferido por los juzgados de Garantías Penales de Pichincha, de que el
señor Edison Sango Páez no ha sido procesado por ninguna otra causa penal diferente a la
que actualmente se juzga.
III. Prueba pericial:
- Informe pericial informático realizado por el Ingeniero Milton Jaque Tarco, perito del
Laboratorio de Criminalística de la Policía Judicial de Pichincha, e informe ampliatorio
solicitado por Edison Sango Páez.
- Pericia grafotécnica realizada por el Cabo de Policía Moisés Alipio Beltrán Castro, perito
del Laboratorio de Criminalística de la Policía Judicial de Pichincha, que determina que las
firmas constantes en los vouchers del MEGAMAXI que constan en la cadena de custodia
adjunta al parte de detención de 15 de junio del 2012, se corresponden gráfica y
morfológicamente con las firmas y rúbricas de la cédula del señor Edison Sango Páez.
48
g) FORTALEZAS
- Se cuenta con el testimonio de la cajera del MEGAMAXI, señorita Magdalena Bedoya Ruiz,
quien ha indicado que el señor Edison Sango Páez realizó una compra de USD$ 400, el 15
de junio del 2012, pagando en su caja, sin que se reporte ninguna novedad.
- La prueba pericial informática demuestra el proceso con el cual se clonó la banda
magnética de la tarjeta VISA Banco Continental cuyo titular es el señor Jonás Merlo Hidalgo,
pero en la ampliación solicitada, la pericia determina que el molde físico de la tarjeta
PREPAGO PACIFICARD es auténtico, razón por la cual, no ha existido falsificación de la
tarjeta en sí misma, sino de la banda magnética.
- No existe una pericia contable que demuestre el perjuicio alegado por la acusación
particular (Banco Continental) por la suma de USD$ 12.000 en virtud de compras realizadas
con débito a la tarjeta VISA del señor Jonás Merlo Hidalgo, desde el 1 al 14 de junio del
2012. En tal virtud, solamente existen vouchers de compra por el valor de USD$ 1.560.
- Las certificaciones bancarias, referencias comerciales y certificados de los Tribunales y
juzgado de Garantias Penales, demuestran que el señor Edison Sango Páez es una
persona solvente, comercialmente activa y que ha utilizado otros instrumentos para sus
transacciones, sin presentar inconvenientes con los mismos.
- El señor Jonás Merlo Hidalgo, titular de la tarjeta VISA, no presentó acusación particular ni
se presentó en calidad de ofendido al juicio.
- La firma del señor Edison Sango Páez que consta en los vouchers de compra en el
MEGAMAXI, de fecha 15 de junio del 2012, se corresponde con la firma auténtica de mi
defendido que consta en su cédula de ciudadanía, esto es, realizó las compras de buena fe,
en forma personal y con su verdadera identidad.
h) DEBILIDADES
- El testimonio del cajero de MEGAMAXI, señor Fernando Mena Bonilla, cajero N° 15, quien
asegura que al procesar la transacción de compra del señor Edison Sango Páez, por la
49
suma de USD$ 850 dólares, encontró inconsistencia de los datos de la tarjeta prepago
PACIFICARD, respecto de los datos numéricos insertos en el voucher de compra.
- Existen los estados de cuenta de la tarjeta VISA del señor Jonás Merlo Hidalgo que
efectivamente establecen consumos en los locales MEGAMAXI y SANTAMARIA, en el
período comprendido entre el 1 al 15 de junio del 2012, consumos que han sido reclamados
por el señor Jonás Merlo Hidalgo al Banco Continental.
- Si bien la compra que fue causa de la detención flagrante suma un total de USD$ 1.560, el
cupo de compras de una tarjeta prepago PACIFICARD, no tiene relación con el cupo de
compras que puede tener una tarjeta VISA tipo internacional de las características de la que
usa el señor Jonás Merlo Hidalgo.
- Existe una experticia documentológica realizada también por el Cabo de Policía Moisés
Alipio Beltrán Castro, perito del Laboratorio de Criminalística de la Policía Judicial de
Pichincha, que indica que la tarjeta prepago emitida por PACIFICARD no cumple con las
medidas o parámetros de seguridad que se establecen para una tarjeta de crédito, por lo
que determina que dicha tarjeta presuntamente no podía ser utilizada para realizar compras
a crédito, no obstante, reconoce la autenticidad del molde o envasado de dicha tarjeta.
I) INTERROGATORIOS
1) Preguntas introductorias:
A los guardias de seguridad de Megamaxi
¿Cuál fue la razón por la que a ustedes les pareció inusual la compra que estaba realizando
el señor Edison Sango Páez en el MEGAMAXI el día 15 de junio del 2012?
Al representante judicial del Banco Continental, acusador particular
¿Cuál es la justificación de su comparecencia como víctima u ofendido en este juicio?
¿Se practicó una pericia contable que haya determinado el perjuicio de USD$ 12.000
alegado en la acusación particular?
50
2) Preguntas de relación de los testigos con los hechos:
A la señorita Magdalena Bedoya Ruiz, cajera de Megamaxi
Indique el proceso de compra que realizó el señor Edison Sango Páez en su caja en el
centro comercial Megamaxi.
¿Existió alguna inusualidad en la transacción de compra que realizó en su caja el señor
Edison Sango Páez, el 15 de junio del 2012?
Al señor Fernando Mena Bonilla, cajero del MEGAMAXI.
¿Usted determinó que la tarjeta prepago PACIFICARD del señor Edison Sango Páez era
falsa?
¿Su compañera Magdalena Bedoya Ruiz le reportó a usted de la existencia de alguna
anormalidad en la transacción procesada por ella, minutos antes de que el señor Edison
Sango Páez se acercase a su caja?
¿El nombre impreso en el voucher que se le exhibe dice “Edison Sango”?
3) Preguntas de descripción:
Al perito informático Milton Jaque Tarco.
¿Se necesita un procedimiento técnico especializado para la clonación de la banda
magnética de una tarjeta de crédito?
¿Se requiere un conocimiento especial para el envasado de la banda magnética de una
tarjeta de crédito en el molde de otra?
51
Al perito grafotécnico Moisés Alipio Beltrán Castro.
Explique las características de la firma inserta en el voucher de compra que se exhibe, en
relación a la firma y rúbrica del señor Edison Sango Páez constante en su cédula de
ciudadanía.
Indique si la tarjeta prepago PACIFICARD que se le exhibe es una tarjeta de molde
falsificado o si se trata de una tarjeta auténtica.
Al señor Economista Oswaldo Víctor Rodríguez Ojeda, ministro de culto evangélico.
Indique sobre la personalidad y el comportamiento que tiene el señor Edison Sango Páez en
el barrio y comunidad en la cual vive, si se trata de una persona honorable o si ha tenido
disputas o problemas con personas del lugar.
J) ALEGATO DE CLAUSURA
Se ha demostrado que no existe responsabilidad de mi defendido, señor Edison Sango
Páez, con las siguientes pruebas: Testimonio del procesado Edison Sango Páez, quien ha
manifestado tener instrucción secundaria y cuya formación profesional o técnica no le
permite tener conocimientos técnicos especializados en materia informática o electrónica,
por lo que es imposible que mi defendido haya podido realizar la clonación de la banda
magnética de la tarjeta VISA del señor Jonás Merlo Hidalgo, peor aún introducirla y ponerla
en funcionamiento en el molde de la tarjeta prepago PACIFICARD; testimonio del perito
informático, Ingeniero Milton Jaque Tarco, quien ha descrito el proceso por el cual se lleva a
cabo la copia o clonación informática de la banda magnética de una tarjeta de crédito o
débito, estableciendo que se necesitan conocimientos especializados en informática para
realizar este tipo de procesos; testimonio del perito documentológico Moisés Alipio Beltrán
Castro, quien ha confirmado que el soporte físico de la tarjeta prepago PACIFICARD es
auténtico y no presenta falsificación en cuanto a su contenido y características; testimonio
de la señorita Magdalena Bedoya Ruiz, cajera de Megamaxi, quien refiere la compra de
productos por la suma de USD$ 400 por parte del señor Edison Oswaldo Sango Páez,
transacción que no presentó novedades, refiriendo además que los guardias del
establecimiento son quienes se acercaron a la cajas a indicar que les pareció sospechosa la
forma como el señor Edison Oswaldo Sango Páez y su esposa escogían los productos en
52
las estanterías, sin mirar los precios; testimonio del guardia de MEGAMAXI, Hugo Vidal
Méndez, quien establece que el motivo de la aprehensión del señor Edison Oswaldo Sango
Páez fue la de sospechar de él por la forma en que escogió los productos de las estanterías
en el MEGAMAXI, sin mirar los precios, y que de este particular alertó al cajero N° 15, señor
Fernando Mena Bonilla, lo que significa que no existió un motivo justificado para la
aprehensión flagrante de que fue objeto el señor Edison Oswaldo Sango Páez; testimonios
de honorabilidad que demuestran la buena conducta social de mi defendido en su vida diaria
en la comunidad.
Con la pericia grafotécnica practicada sobre las firmas del señor Edison Oswaldo Sango
Páez, insertas en los vouchers de compra del MEGAXI, de fecha 15 de junio del 2012 se ha
comprobado que estas firmas son auténticas, lo que demuestra que mi defendido era
comprador de buena fe. La tarjeta de crédito prepago PACIFICARD es una tarjeta que fue
adquirida en la ciudad de Guayaquil, y la Fiscalía y la acusación particular no han podido
probar de ninguna manera que esta tarjeta haya sido adquirida de forma ilícita, ya que su
molde es auténtico.
Por otra parte, no se practicó durante la instrucción fiscal, ninguna pericia contable que
demuestre el supuesto perjuicio alegado por la acusación particular, alcanzando la suma de
USD$ 1.560 las compras efectuadas el día 15 de junio del 2012, no obstante de lo cual, la
compra por la cual se creó el incidente de flagrancia es por la suma de USD$ 800 en la caja
N° 15 del MEGAMAXI, en razón de lo cual, el supuesto perjuicio realmente determinable en
este caso es una cantidad notablemente menor al perjuicio alegado por la acusación
particular de USD$ 12.000. No ha podido probar de ninguna manera la acusación particular,
el Banco Continental, que se trate de un delito continuado, presentando documentos y
estados de cuenta de consumos del señor Jonás Merlo Hidalgo, en el período comprendido
entre el 1 al 14 de junio del 2012.
Con todo el acervo probatorio indicado, se ha desvirtuado la teoría del caso de la Fiscalía y
de la acusación particular, y al no existir responsabilidad de mi defendido en los hechos
acusados por la Fiscalía, en virtud del resultado de la infracción conforme al tipo penal que
se ha juzgado, esto es, falsificación y uso doloso de documento privado falso, artículo 340
en concordancia con el 341 del Código Penal, pedimos a ustedes, señores jueces, se sirvan
confirmar en sentencia, el estado de inocencia de mi defendido, señor Edison Oswaldo
53
Sango Páez y ordenen el levantamiento de todas las medidas cautelares que pesan sobre
su persona.
Así mismo se servirán declarar como maliciosa y temeraria la acusación particular
presentada por el Banco Continental, ya que no ha logrado justificar su calidad de víctima
dentro del presente caso, así como tampoco ha demostrado a través de una pericia
contable, el supuesto perjuicio de USD$ 12.000 que alega que se ha producido a
consecuencia de las compras realizadas supuestamente por el señor Edison Oswaldo
Sango Páez, con cargo a su tarjeta VISA Banco Continental, en el periodo comprendido
entre el 1 y el 15 de junio del 2012.
En el caso no consentido de no aceptarse las pruebas del estado de inocencia de mi
defendido, solicito al Tribunal acoger las pruebas que se han presentado de buena conducta
y ausencia de antecedentes penales judiciales de Edison Oswaldo Sango Páez, para que se
apliquen circunstancias atenuantes del artículo 29 del Código Penal vigente hasta el 9 de
agosto del 2014, actuales artículos 45 y 46 del Código Orgánico Integral Penal que me
permito citar:
Art. 45 del COIP.- Circunstancias atenuantes de la infracción.- Son circunstancias atenuantes de la infracción penal: 1.- Cometer infracciones penales contra la propiedad sin violencia, bajo la influencia de
circunstancias económicas apremiantes. 2.- Actuar la persona infractora por temor intenso o bajo violencia. 3.- Intentar, en forma voluntaria anular o disminuir las consecuencias de la infracción o brindar
auxilio y ayuda inmediatos a la víctima por parte de la persona infractora. 4.- Reparar de forma voluntaria el daño o indemnizar integralmente a la víctima. 5.- Presentarse en forma voluntaria a las autoridades de justicia, pudiendo haber eludido su acción
por fuga u ocultamiento. 6.- Colaborar eficazmente con las autoridades en la investigación de la infracción.
Art. 46 del COIP.- Atenuante trascendental.- A la persona procesada que suministre datos o informaciones precisas, verdaderas, comprobables y relevantes para la investigación, se le impondrá un tercio de la pena que le corresponda, siempre que no existan agravantes no constitutivas o modificatorias de la infracción.
CAPÍTULO IV
CADENA DE CUSTODIA EN LOS DELITOS INFORMÁTICOS Y ELECTRÓNICOS QUE
AFECTAN A LAS INSTITUCIONES DEL SISTEMA FINANCIERO
55
1.- ¿Qué es la cadena de custodia?
Se define como cadena de custodia, al procedimiento ordenado y concatenado de registro y
manejo de la evidencia materia de la investigación de un delito, y, a decir de Rubén Angulo
González1, “es el documento escrito donde quedan reflejadas las incidencias de una
prueba”. Fabio Espitia Garzón establece que la cadena de custodia “es el procedimiento que
consiste en la recolección, el debido embalaje, la identificación, la rotulación y el almacenaje
de las evidencias encontradas en la escena del crimen con el fin de precautelar su
integridad”.2
La cadena de custodia constituye una garantía para los sujetos que intervienen en un
proceso penal en el cual se garantizan los derechos de las partes. La libertad probatoria de
los sujetos procesales debe enmarcarse dentro de la legalidad de un procedimiento que
asegure que éstos puedan aportar las evidencias al proceso en condición íntegra y
auténtica, y permita constatar que las evidencias obtenidas son originales o extracciones
verídicas de las fuentes; tal como los eslabones de una cadena, se debe describir con
extrema suficiencia documental, cada uno de los pasos dados para la custodia de la
evidencia.
El artículo 456 del COIP, establece que la cadena de custodia se aplicará a los elementos
físicos o contenido digital materia de la prueba, para garantizar su autenticidad, acreditando
su identidad y estado original; las condiciones, las personas que intervienen en la
recolección, envío, manejo, análisis y conservación de estos elementos, incluyendo los
cambios hechos en ellos por cada custodio.
La cadena se inicia en el lugar donde se obtiene, encuentra o recauda el elemento de
prueba y finaliza por orden de la autoridad competente. Son responsables de su aplicación,
el personal del Sistema Especializado Integral de Investigación, de Medicina Legal y de
Ciencias Forenses y el personal del Laboratorio de Criminalística, ambos pertenecientes a la
Policía Técnica Judicial; el personal competente en materia de tránsito y todos los
1 Angulo González, Rubén, citado por Meek Neira, Michael. (2013). Delito Informático y Cadena de Custodia (p.
157). Bogotá, Colombia: Universidad Sergio Arboleda.
2 Espitia Garzón, Fabio, Cfr. (2011). Instituciones de Derecho Procesal Penal, 8va. Ed. (pp. 290-291). Bogotá,
Colombia: Legis.
56
servidores públicos y particulares que tengan relación con estos elementos, incluyendo del
personal de servicios de salud que tengan contacto con elementos físicos que puedan ser
de utilidad en la investigación.
El artículo 457 del COIP, dispone que la valoración de la prueba se realice teniendo en
cuenta su legalidad, autenticidad, sometimiento a cadena de custodia y grado actual de
aceptación científica y técnica de los principios en que se fundamenten los informes
periciales.
La demostración de la autenticidad de los elementos probatorios y evidencia física no
sometida a cadena de custodia, estará a cargo de la parte que los presente.
Los servidores públicos y personas particulares son responsables de la preservación de los
indicios materia de un hecho delictivo, hasta el momento de contar con la presencia de
personal especializado, de acuerdo al artículo 458 del Código Orgánico Integral Penal.
La ruptura de la cadena de custodia en cualquiera de sus eslabones no solo pone en duda
la decisión judicial que se funda en tales hechos indicadores para determinar la comisión de
un hecho punible, sino que también puede afectar, con base en la “teoría del árbol
envenenado”, a otras pruebas que tengan relación directa con la prueba impugnada, por lo
cual están condenadas a la inexistencia procesal a título de remedio para su actuación,
porque las ilicitudes probatorias no pueden generar licitudes o consecuencias de tipo
procesal. El artículo 250, inciso cuarto, numeral tercero de la Constitución de la República
dispone que una de las misiones de la Fiscalía General del Estado es la de asegurar los
elementos materiales probatorios, garantizando la cadena de custodia, mientras se ejerce su
contradicción.
2.- Evidencia digital y sus diferencias con la prueba documental
Contenido digital, tal como lo contempla el artículo 500 del Código Orgánico Integral Penal,
es todo acto informático que representa hechos, información o conceptos de la realidad,
almacenados, procesados o trasmitidos por cualquier medio tecnológico que se preste a
tratamiento tecnológico aislado, interconectado o relacionados entre sí.
En la investigación se seguirán las siguientes reglas:
57
1.- El análisis, valoración y recuperación y presentación del contenido digital almacenado en
dispositivos o sistemas informáticos, se realizará a través de técnicas digitales forenses.
2.- Cuando el contenido digital se encuentre almacenado en sistemas y memorias volátiles o
equipos tecnológicos que formen parte de la infraestructura crítica del sector público o
privado, se realizará su recolección, en el lugar y en tiempo real, con técnicas digitales
forenses para preservar su integridad, se aplicará la cadena de custodia y se facilitará su
posterior valoración y análisis de contenido.
3.- Cuando el contenido digital se encuentre almacenado en medios no volátiles, se realizará
su recolección con técnicas digitales forenses para preservar su integridad, se aplicará la
cadena de custodia y se facilitará su posterior valoración y análisis de contenido.
4.- Cuando se recolecte cualquier medio físico que almacene, procese o trasmita contenido
digital durante una investigación, registro o allanamiento, se deberá identificar e inventariar
cada objeto individualmente, se fijará su ubicación física con fotografías y un plano del lugar,
se protegerá a través de técnicas digitales forenses y se trasladará mediante cadena de
custodia a un centro de acopio especializado para este efecto.
Es el COIP el que establece algunas reglas para el manejo y conservación de los indicios o
evidencias de los delitos informáticos y electrónicos, ya que el Manual de Cadena de
Custodia emitido por el Consejo Directivo de la Policía Judicial y publicado en el Registro
Oficial N° 314, de 19 de agosto del 2014, no explica los métodos específicos de
conservación de la evidencia informática, tanto aquella que se halla almacenada en
sistemas, servidores y bases de datos informáticas, como la que constituye el hardware o
parte física del computador (discos duros) o bien memorias, ya sean éstas fijas o portátiles;
no podemos olvidarnos tampoco que, con el avance de la tecnología, la prueba informática
puede estar almacenada en medios físicos tales como teléfonos celulares, tabletas o
similares aparatos que funcionan en base a programas informáticos.
Michael Meek Neira manifiesta que: “Si bien es cierto que tal y como ocurre con la prueba
documental, la evidencia digital está en capacidad de representar un hecho con relevancia
procesal, también puede plasmar no solo hechos, sino cualquier objeto presente en el
mundo físico o en la imaginación de usuarios, de tal manera que puede convertirse en el
58
bien de representación por excelencia; incluso puede facilitar que se impartan comandos a
un sistema informático para el desarrollo automático de distintas operaciones”.3
La materialidad versus la inmaterialidad de la evidencia digital se torna en una diferencia
fundamental. La prueba documental exige en su estructura la corporalidad de la cosa
mueble apreciable por los sentidos, donde reposa un mensaje del que se puede identificar
a su autor; la prueba documental es entonces una cosa mueble susceptible de ser llevada a
juicio. La evidencia digital también puede ser llevada a juicio, pero no de forma aislada a un
sistema informático. Esto quiere decir que su medio de transporte es físico, pero su
reproducción solo puede darse mediante un medio electrónico como un computador físico o
portátil.
3.- Proceso de cadena de custodia de las evidencias o indicios de los delitos
informáticos y electrónicos que afectan al sistema bancario ecuatoriano
Dependiendo de cuáles son los medios que se utilizan para perpetrar el delito, sea a través
de programas informáticos o a través de la conexión de medios externos (discos duros,
memorias externas, microchips, micro cámaras), la evidencia del delito informático debe ser
recolectada para garantizar la mayor fidelidad posible al momento de reproducirse, sea para
realizar una pericia electrónica o informática por parte de especialistas en la materia, y, al
momento de presentar esta evidencia en juicio, para que tenga pleno valor procesal.
Como lo indica el autor Michael Meek Neira4, “Se debe tener en cuenta que la información y
los datos informáticos, al encontrarse en la inmaterialidad, almacenados en medios físicos
que funcionan con electricidad, son extremadamente volátiles y, por su esencia, se hace
necesario que todo el proceso que los involucra sea efectivamente documentado”. En el
transcurso del proceso, todos los elementos materiales probatorios, evidencia física y digital
del delito informático, deben contar con un respaldo legal que justifique su presentación en
juicio, a través de sistemas automatizados de información.
3 Meek Neira, Michael, Delito Informático y Cadena de Custodia, Universidad Sergio Arboleda, Bogotá, 2013,
páginas 147 a 150.
4 Meek Neira, Michael, Ibid, pp. 129-158.
59
3.1. Conservación de la evidencia informática
Las plataformas informáticas de los bancos cuentan actualmente con sistemas de detección
de intrusiones externas que funcionan con relativo éxito. En lo posible, los bancos
nacionales han tratado de proteger las cuentas virtuales de sus clientes, a través de
antivirus que actúan en el momento en que se despliegan las páginas del portal bancario y
que suelen actuar como sistemas de bloqueo del pishing o de páginas similares a la original
que hacen reenvío del usuario bancario a otros destinos en la red informática, con la
finalidad de apropiarse de sus datos personales y o claves personales de transacciones.
En cuanto a preservar evidencias de ataques informáticos, cuyas víctimas fueron el banco o
sus clientes, el elemento conocido como IP (protocolo de internet) es sumamente importante
para lograr una ubicación física del servidor o computador desde el cual se perpetró el
ataque informático. Las IP pueden ser fijas o dinámicas conforme al manejo y distribución
que de ellas haga el proveedor de servicios de Internet, por lo cual, la información de
direcciones IP que están almacenadas en las bases de datos de proveedores de servicio de
Internet es un elemento trascendente en la lucha con el cibercrimen. No obstante, conocer la
dirección IP solamente garantiza poder determinar la ubicación del computador o terminal
informática desde la cual se efectuó el ciberataque, pero no nos garantiza que pueda
localizarse la identidad de aquella persona o personas que efectuaron el ciberataque; es por
ello que a este tipo de delitos podríamos denominarlos “sin rostro” en cuanto se refiere a sus
ejecutores informáticos, los auténticos autores del ciberdelito. Los beneficiarios de los
dineros de transferencias no autorizadas por los titulares de cuentas, por lo general son
terceras personas que tiene cuenta en el mismo banco o en un banco diferente, y así como
pueden ser cómplices o ejecutores finales del delito informático al retirar de sus cuentas los
fondos provenientes de la transferencia ilícita, se suscitan muchos casos de gente engañada
y de personas que han “prestado la cuenta” a familiares o amigos de confianza con la
finalidad de recibir dineros supuestamente provenientes de un negocio o de un préstamo
lícitos.
No obstante, como dijimos, una IP puede ser variable debido al volumen de información que
transporta a través de la red. El identificador más exacto de la localización de un terminal
computacional a través de la red, es la dirección MAC (control de acceso al medio) que tiene
48 bits y corresponde de forma única, a una tarjeta o dispositivo de red. Estás direcciones
MAC han sido diseñadas para ser identificadores globales únicos, pero no todos los
60
protocolos de comunicación usan direcciones MAC, y, no todos los protocolos requieren
identificadores globalmente únicos.
En informática y telecomunicaciones, un protocolo de comunicaciones5 es: “Un conjunto
de reglas y normas que permiten que dos o más entidades de un sistema, se comuniquen
entre ellas para transmitir información por medio de cualquier tipo de variación de una
magnitud física. Se trata de las reglas o el estándar que define la sintaxis, semántica y
sincronización de la comunicación, así como posibles métodos de recuperación de
errores”. Los protocolos pueden ser implementados por hardware, software, o una
combinación de ambos.
El protocolo TCP/IP es aquel con el cual las empresas proveedoras de servicios de internet
configuran el acceso a internet en la mayoría de computadoras que utilizan las personas en
general y los clientes bancarios en particular; este protocolo exige que exista una dirección
IP, para poder identificar de forma inequívoca cada ordenador conectado a Internet.
La dirección IP está conformada por cuatro números (cada uno entre 0 y 255, equivalentes
cada uno a un byte) separados por puntos, por ejemplo, la dirección IP: 193.146.27.212;
cada ordenador conectado a Internet se identifica mediante su IP. Estos números son
difíciles de recordar, por ello las empresas proveedoras de Internet utilizan también en la
configuración de acceso a Internet de sus usuarios un “Sistema de Nombres de Dominio”,
DNS (Domain Name System) que permite asignar nombres a las direcciones IP.
Lo anteriormente indicado se refiere a la información que puede ser recolectada de los
proveedores del servicio de Internet en caso de cometerse un delito informático. Los
protocolos de Internet son una forma de lograr conocer algunas veces, no solamente la
localización física del terminal computacional, sino que también permiten obtener datos que
los tiene almacenados la empresa proveedora del Internet, respecto de la persona natural o
jurídica que ha contratado ese servicio de Internet, lo cual muchas veces no nos da la
pista concreta de quién es el ciberdelicuente, de su identidad, porque algunos delitos
informáticos, especialmente los que tienen como resultado el fraude patrimonial, son
perpetrados desde cibercafés (lugares públicos de alquiler de Internet) o, como pasa en la
mayoría de los casos, son perpetrados desde un país extranjero.
5 Rodríguez-Aragón, Licesio, Tema 4, Internet y Teleinformática, Informática Básica, Universidad Rey Juan
Carlos, p. 3: http://www.uclm.es/profesorado/licesio/Docencia/IB/IBTema4.pdf
61
En lo que se refiere a información de transacciones bancarias, la Fiscalía tiene la capacidad
legal de solicitar información sujeta al sigilo y reserva bancario, conforme al actual artículo
354, numeral 1, del Código Orgánico Monetario y Financiero. Las empresas auxiliares de las
instituciones del sistema financiero que les prestan servicios operativos y almacenamiento
de los registros de transacciones de los clientes bancarios, son las llamadas a proporcionar
esta información a los bancos, quienes a su vez, al ser requeridos por alguna fiscalía o
judicatura, por mandato legal deben remitir esa información, para que sea elemento de
convicción dentro de las causas que se estuviesen investigando o juzgando.
Estos registros de archivos informáticos se denominan LOGS o registros lógicos de
información que se almacenan en los servidores informáticos, durante muchos años. La
forma en que se extrae esta información es con programas que permiten cargar y copiar los
archivos almacenados en los servidores, y de ésta manera el perito informático que haya
sido designado por la Fiscalía, puede obtener esta información en medios físicos (memorias
portátiles, cedes) o a su correo electrónico, para su análisis y procesamiento, en archivos
exportables de imagen o Excel.
3.2. Conservación de la evidencia de medios electrónicos.
En cuanto a las evidencias de delitos cometidos en contra del soporte físico de los datos de
información y canales electrónicos, esto es, ataques realizados en contra de cajeros
automáticos de los bancos, la técnica de cadena de custodia recomienda aislar los soportes
físicos en los cuales está contenida esta información (discos duros y memorias de los
cajeros automáticos) a fin de testearlos posteriormente con programas informáticos que
permiten determinar si existió intrusión informática por vía canal electrónico o por medios
físicos externos (discos portátiles, memorias flash, teléfonos celulares, mouses), o si fueron
anuladas las seguridades proporcionadas por los antivirus instalados, con el propósito de
cambiar los códigos de funcionamientos de los cajeros automáticos y obtener información
protegida que permitió al ciberdelicuente hacerse con la misma, para poder posteriormente
venderla a terceros, o, utilizarla para extraer el dinero que reposa en las cartucheras de los
cajeros automáticos.
Los medios electrónicos que utilizan los ciberdelincuentes para ejecutar delitos tales como
el skimming, y que se encuentran insertos como intrusos en cajeros automáticos u otros
canales electrónicos con terminales físicas, deben ser preservados de manera integral al ser
separados de los aparatos en que se hallan incrustados, de tal manera que el perito
62
especialista en electrónica pueda realizar una evaluación de los componentes de este tipo
de mecanismos y llegue a determinar si los mismos son idóneos para la ejecución del delito
que se está investigando.
La investigación pericial debe ser siempre analítica y no solo académica. Los componentes
de un mecanismo de clonación de datos de las bandas magnéticas de tarjetas de crédito o
débito, pueden por supuesto, ser consultados académicamente en varias páginas de
Internet, pero la tarea primordial del perito informático es la de evaluar la funcionalidad del
aparato que ha sido aislado mediante la cadena de custodia, y, verificar si su propósito u
objetivo de causar un daño puede ser ejecutado siguiendo una secuencia determinada de
procesos lógicos.
63
CONCLUSIONES
1.- La delincuencia que utiliza para ejecutar sus fines los medios informáticos y electrónicos
se clasifica de acuerdo al tipo de medio utilizado. La delincuencia informática utiliza o ataca
el software, esto es, los programas informáticos trasmitidos a través de redes y servidores,
mientras que el delito electrónico se caracteriza por los ataques al hardware o medio externo
tecnológico como son los discos duros, discos portátiles, memorias, etc.
2.- El Décimo Congreso de las Naciones Unidas sobre Prevención del Delito y Tratamiento
del Delincuente, llevado a cabo en Viena, del 10 al 17 de abril del 2014, estableció la
existencia de dos subcategorías de delitos cibernéticos: el delito cibernético en sentido
estricto (“delito informático”), que consiste en todo comportamiento ilícito que se valga de
operaciones electrónicas para atentar contra la seguridad de los sistemas informáticos y los
datos procesados por ellos; y, el delito cibernético en sentido lato (“delito relacionado con
computadoras”), que se relaciona con todo comportamiento ilícito realizado por medio de un
sistema o una red informáticos, o en relación con ellos; incluidos los delitos de posesión, el
ofrecimiento o la distribución ilegales de información por medio de un sistema o de una red
informática.
3.- Los delitos patrimoniales que se cometen por medios informáticos en la actual normativa
del Código Orgánico Integral Penal, vigente desde el 10 de agosto del 2014, se clasifican en
delitos que atentan contra el patrimonio, tales como la estafa electrónica y la apropiación
ilícita, o la transferencia no consentida de activos patrimoniales, y, aquellos delitos que
tienen como finalidad el ataque directo y el daño o alteración de los sistemas informáticos y
electrónicos para lograr como finalidad, el apropiamiento de información confidencial, o la
destrucción de los sistemas de software o hardware.
4.- El Código Orgánico Integral Penal, si bien es cierto ha endurecido las penas aplicables a
los delitos en general, mantiene ciertas incongruencias como el caso de la pena que se
aplica al delito de apropiación ilícita por medios informáticos o electrónicos que, revistiendo
gravedad, solo se sanciona con pena privativa de la libertad de uno a tres años, sin tomar en
cuenta que gran parte de los casos de transferencias no autorizadas de fondos desde
cuentas de clientes del sistema financiero nacional, tienen su juzgamiento y sanción con
este tipo penal. La estafa electrónica, siendo un delito patrimonial de igual o menor impacto
en cuanto al resultado, está penada con pena privativa de la libertad de hasta siete años.
64
5.- La información que los clientes de las instituciones del sistema financiero guardan en los
archivos informáticos de éstas, tienen el carácter de confidencial cuando se trata de sus
datos personales, preferencias, lugares de vivienda, trabajo o teléfonos; mientras que, la
información sobre las operaciones y movimientos bancarios de los clientes, así como de
los créditos solicitados por los mismos, está bajo la protección del sigilo y reserva bancaria,
constituyendo un delito la divulgación de esta información, sin perjuicio de las sanciones
administrativas contempladas en el Código Orgánico Monetario y Financiero.
6.- La Teoría del Caso permite trazar estrategias adecuadas para llevar adelante la
acusación o la defensa de una persona en juicio. Sus elementos esenciales son: el fáctico,
el probatorio y el jurídico. La Teoría del Caso tiene que ser lógica, creíble, legalmente
suficiente, y, concreta pero flexible.
7.- Los alegatos de apertura tienen que formular de una manera sucinta, cuáles son los
hechos que van a probarse en el transcurso de la audiencia. Es la historia que va a
demostrarse durante el desarrollo del juicio.
8.- Las proposiciones fácticas permiten el desarrollo del razonamiento lógico en cuanto
establecen el nexo existente entre el hecho fáctico y el sujeto responsable de las acciones
que se investigan.
9.- En el campo probatorio, la evidencia informática surte el mismo efecto que los elementos
de convicción de tipo documental, pero la inmaterialidad de la misma suele hacerla
dependiente de la reproducción a través de medios físicos para que pueda hacerse valer en
calidad de prueba.
10.- La prueba pericial informática y/o electrónica es la prueba técnica más importante
dentro de la investigación de los delitos informáticos o electrónicos, porque permite procesar
e interpretar la información obtenida en ordenadores o sistemas de comunicación, en el
caso de delitos informáticos; así como también interpreta o describe el funcionamiento de
los mecanismos electrónicos, en el caso de los delitos que utilizan o atentan en contra del
hardware o medios externos.
65
11.- Por lo general, el fraude informático constituye un delito “sin rostro”, en el cual se halla
manifiesta la voluntad de engañar y de apropiarse de los bienes o valores del usuario
informático afectado, pero sin que pueda identificarse a priori, quién es el autor material o
intelectual de este tipo de fraudes. En el caso de los delitos de apropiación ilícita por
medios informáticos o electrónicos suele conocerse más bien a aquellas personas que son
beneficiarias de los dineros transferidos fraudulentamente desde las cuentas de los clientes
de las instituciones bancarias, pero estas personas algunas veces resultan haber sido
engañadas por terceros, para prestar sus cuentas a este tipo de maniobras fraudulentas.
12.- La información con la que cuentan las empresas proveedoras del servicio de Internet,
es de importancia fundamental para la investigación penal de los delitos informáticos, pues
estas empresas almacenan los datos correspondientes al tráfico de redes de sus usuarios o
suscriptores, y por lo tanto, a través de la información almacenada en sus sistemas, puede
conocerse el lugar físico desde el cual se efectuó el ataque o intrusión informática y los
datos relativos a la identidad de la persona natural o jurídica que es suscriptora de este
servicio de Internet.
13.- Conocer el lugar físico, la terminal computacional desde la cual se efectuó el ataque o
intrusión informática, es un punto de partida para determinar donde se plasmó la acción del
ciberdelincuente, pero no garantiza poder identificar al autor intelectual o atacante
informático, ya que por lo general, estas personas actúan desde una dirección IP ubicada en
un país extranjero, o bien desde el Ecuador, en una terminal computacional de uso público
(ciber café).
14.- Los hackers son personas expertas en manejo y rompimiento de claves y seguridades
informáticas, y sus motivaciones no siempre corresponden a beneficiarse económicamente
con los dineros de las personas que sufren este tipo de ataque o intrusismo informático.
Algunas veces, la motivación de los hackers puede ser de tipo político o hasta ecológico,
pero en todo hacker siempre se halla presente la motivación de romper con un desafío
establecido por parte de un sistema de seguridad informático, especialmente de aquellos
que presenten gran complejidad.
15.- El hackeo ético constituye una herramienta eficaz para la investigación del ciberdelito y
para la futura prevención de fraudes informáticos, porque permite determinar detalladamente
las debilidades que tuvo el sistema operativo que fue objeto del ataque informatico, así
66
como las huellas o señales que dejó el ataque o intrusismo en los códigos o registros de los
programas que forman parte de la plataforma del sistema, desactivación de los antivirus y
alertas de seguridad, etc. Para el sistema bancario, este tipo de hackeo ético es
fundamental en el fortalecimiento de sus sistemas operativos a través de los cuales sus
clientes realizan transacciones.
16.- De acuerdo a los medios que se utilizan para perpetrar el delito informático o
electrónico, sea a través de programas informáticos o a través de la conexión de medios
externos (discos duros, memorias externas, microchips, micro cámaras), la evidencia debe
ser recolectada para garantizar la mayor fidelidad posible al momento de reproducirse, sea
para realizar una pericia electrónica o informática por parte de especialistas en la materia, y,
al momento de presentar esta evidencia en juicio, para que tenga pleno valor procesal.
17.- La colaboración de las instituciones del sistema financiero en la obtención de la
información de operaciones bancarias, por parte de la Fiscalía, es un pilar fundamental en la
investigación del ciberdelito. Esta información, si bien es de carácter confidencial o
reservada para el público en general, de acuerdo a las disposiciones del Código Orgánico
Monetario y Financiero, puede ser solicitada por fiscales o jueces dentro de una indagación
previa o proceso penal, como elemento de convicción o soporte informático de lo que quiere
probarse.
18.- Los elementos electrónicos que constituyen evidencias de delitos tales como la
clonación de tarjetas electrónicas de débito o crédito de los usuarios bancarios, los
mecanismo del delito denominado SKIMMING, o bien los discos duros o memorias de los
cajeros automáticos afectados por el intrusismo de medios externos (memorias flash,
celulares, mouses, teclados) deben ser convenientemente aislados y clasificados, a fin de
que pueda realizarse un estudio técnico de su funcionamiento.
67
RECOMENDACIONES
1.- Ecuador, a través del Poder Ejecutivo, de la Fiscalía General del Estado, y, de sus
legaciones diplomáticas en organizaciones internacionales, debería propiciar activamente,
una política internacional de alianzas y acuerdos con otros países para el combate de la
ciberdelincuencia originada fuera de sus fronteras, tal como ocurre por ejemplo, con los
países de la Unión Europea. La ausencia de este tipo de tratados hace vulnerable a nuestro
país, cuando el ataque informático es perpetrado desde ciudades de otros países; la sola
cooperación entre fiscalías de los países involucrados en el tema, no representa suficiente
apoyo para el combate al ciberdelito.
2.- Las instituciones del sistema financiero nacional deben invertir los recursos que sean
necesarios para modernizar sus plataformas informáticas de operaciones y
almacenamientos de datos, volviendo así más seguros los sistemas y canales de
comunicación por los cuales se trasmiten las transacciones bancarias. Esta inversión de los
bancos en tecnología, si bien es costosa, redunda en un beneficio de dar seguridad a los
clientes, incrementando su confianza para invertir o depositar sus recursos en el sistema
financiero nacional.
3.- Debe realizarse una activa campaña de educación social sobre el manejo de productos
bancarios que involucren el manejo de redes o canales informáticos o electrónicos, a fin
de procurar una interactuación preventiva banco-cliente, frente a la ciberdelincuencia. No
olvidemos que el delincuente informático busca deliberadamente atacar la parte más
vulnerable de la operación o transacción bancaria, en este caso referida a la información
personal que el cliente bancario tiene sobre su usuario y claves de acceso, tanto al portal
bancario en Internet, como a la utilización de sus tarjeta de débito o crédito en cajeros
automáticos.
4.- Deben crearse protocolos rigurosos de seguridad interna para todos los empleados
bancarios que manejan información de clientes a través de medios informáticos o de
canales electrónicos. Estos manuales o protocolos permiten controlar las actividades
internas de los funcionarios bancarios y determinar la responsabilidad que puede tener cada
uno de ellos en la ejecución de procesos, disminuyendo riesgos. Se han presentado casos
de vulnerabilidad en los llamados Call Centers o centros de información de consulta y
transacciones de clientes, ya que muchas veces no se han tomado las medidas de
68
seguridad suficientes para evitar la fuga de información bancaria a través de una falsa
llamada telefónica.
5.- Las terminales computacionales de los empleados bancarios deben tener un control que
permita su funcionalidad exclusiva para las tareas que son asignadas y no permitir que
puedan ser utilizadas en actividades diferentes a su finalidad, menos aún para la recreación
del empleado bancario. El Internet es una potencial fuente de intrusismo informático y junto
con el correo electrónico, es el medio por el cual los ciberdelincuentes pueden perpetrar
ataques a las redes informáticas bancarias. Este control incluye un sistema de apagado
automático de las computadoras que estén funcionando fuera del horario de trabajo, por
descuido u olvido de apagarlas del funcionario a cargo de la terminal computacional.
6.- La Fiscalía debe propiciar una investigación altamente científica de los delitos cometidos
a través de medios informáticos o electrónicos. Esto significa que no debe solamente
privilegiarse la indagación penal por el hecho de existir un resultado patrimonial dañoso para
un sujeto, sino que deben estudiarse pormenorizadamente los indicios del intrusismo
informático y electrónico para poder determinar en qué campos se enfoca el ciberdelito. No
pueden por tanto desestimarse las indagaciones previas que se inician por tentativa de
delitos informáticos o electrónicos, por el solo hecho de que no produjeron un resultado
económico para la víctima del delito, al haber sido frustrados, porque el solo hecho de que el
delincuente informático logre introducirse a la redes de Internet o a los canales de
comunicación electrónica de los cajeros automáticos, genera grave alarma social general,
porque evidencia vulnerabilidad de estos sistemas. Por ende, las situaciones de amenaza o
peligro deben ser seriamente investigadas y no únicamente las de resultado de daño
patrimonial, ni aún con el pretexto de invocar el artículo 22 del Código Orgánico Integral
Penal (conductas penalmente relevantes).
7.- Los peritos informáticos o electrónicos que se acreditan ante el Consejo de la Judicatura,
deben capacitarse o ser capacitados en la utilización de un adecuado lenguaje jurídico
procesal, cuando expresan conclusiones u observaciones en sus informes técnicos que van
dirigidas al conocimientos de los abogados de las partes, de las fiscalías y de los jueces, ya
que la costumbre usual es que el informe técnico de los peritos analice los eventos,
procesos y/o mecanismos de la comisión de un delito informático, en un lenguaje que solo
ellos podrían conocer e interpretar, pero que no se traduce al final del trabajo pericial en
conclusiones enlazadas con los hechos fácticos que se han investigado por parte de la
69
Fiscalía, produciendo esta situación dificultad en la interpretación y procesamiento de la
información del informe pericial que deben hacer los jueces y fiscales dentro de la
indagación previa o del proceso penal.
8.- No basta con la prescripción del artículo 500 del Código Orgánico Integral Penal respecto
al manejo de la información digital. Debe crearse legalmente un procedimiento completo y
adecuado para la debida extracción y conservación de la evidencia informática y electrónica
en la cadena de custodia, procedimiento que debe obedecer a la misma rigurosidad con la
cual se recolecta, se inventaría y se almacena la evidencia física en otro tipo de delitos. Este
manual de procedimientos para el procesamiento de la evidencia informática y electrónica
debe incluir la manera en que el usuario informático afectado por un ciberdelito deba
proceder para evitar que se pierdan o se destruyan los indicios o elementos de convicción
que se encuentran en su poder (por ejemplo, tarjetas electrónicamente clonadas) o en un
soporte virtual que le pertenezca (correo electrónico, casos de pishing).
9.- El combate contra la ciberdelicuencia debe constituirse en una política de estado que
involucre la participación de entidades públicas, privadas, y de la ciudadanía en general, a
fin de reducir la incidencia de los ataques y aumentar las medidas de seguridad frente al
“ciberdelincuente oculto”. La visión de esta política estatal debe estar encaminada, no a
coartar la libertad de expresión en las redes sociales de Internet, sino a garantizar la
seguridad de los ciudadanos en el libre tráfico informático, tanto en lo referente a sus datos
personales e información confidencial, como en la seguridad de sus trámites, operaciones y
transacciones públicos o privados, incluidos los bancarios. No puede esperarse únicamente
que sean los bancos quienes respondan económicamente cada vez que los usuarios del
sistema bancario son afectados por delitos informáticos o electrónicos, muchas veces
facilitados por su propio accionar imprudente, como por ejemplo, cuando proporcionan
información personal y confidencial de su usuario y claves de acceso a su cuenta virtual en
Internet, o datos de su tarjeta de crédito o débito.
10.- Deben establecerse normas más claras y precisas relativas al manejo o consumo de
bienes y servicios informáticos o electrónicos por parte del usuario o consumidor,
especialmente en lo referente a las transacciones que se realizan por vía internet o a través
de canales electrónicos; para ello se precisa una reforma a la Ley Orgánica de Defensa del
Consumidor y a la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos.
Si se establecen responsabilidades claras por el manejo negligente o mal manejo de este
70
tipo de productos informáticos o electrónicos, el usuario o consumidor tratará de obrar con
mayor cuidado y se disminuirá el riesgo y el impacto de los delitos informáticos o
electrónicos que tienen como finalidad la apropiación del patrimonio o dineros de las
personas.
11.- Debe proponerse una urgente reforma del artículo 190 del Código Orgánico Integral
Penal en lo referente a la pena aplicable a los delitos de apropiación ilícita por medios
informáticos o electrónicos, pues, por la gravedad que estos revisten deberían sancionarse
con una pena similar a la existente para la estafa cometida a través de medios informáticos
o electrónicos (artículo 186, numerales 1 y 2 del Código Orgánico Penal Integral) o por lo
menos con la misma sanción que existía para la apropiación ilícita en los artículos 553.1 y
553.2 del Código Penal que estuvo vigente hasta el 9 de agosto del 2014, esto es, con
penas de hasta 5 años de privación de libertad. La pena actual de 1 a 3 años de privación
de la libertad, alienta a los ciberdelincuentes a obrar con mayor agresividad, por cuanto la
sanción que recibirían en caso de ser descubiertos es mínima en relación al daño que
causan.
71
BIBLIOGRAFÍA
1.- Aboso, Gustavo Eduardo, La Nueva Regulación de los llamados Delitos Informáticos en el
Código Penal Argentino: Un estudio comparado, Santa Fe, Argentina, Editorial Rubinzal-
Culzoni, 2010.
2.- Aguirre Torres, Marco Boris, El Fiscal y su rol en el sistema Acusatorio Oral, Loja, Ecuador,
Editorial Indugraf, 2012.
3.- Azaola Calderón, Luis, Delitos Informáticos y Derecho Penal, Editorial Ubijús, México, 2010.
4.- Azaustre Fernández, María José, El Secreto Bancario, Bosch Editor, Barcelona, España, 2001.
5.- Azuero Rodríguez, Sergio, Contratos Bancarios, quinta edición, Editorial Legis, 2005.
6.- Baigún, David, director, Delincuencia Económica y Corrupción: su prevención penal en la Unión
Europea y el Mercosur, Buenos Aires, Editorial Ediar, 2006.
7.- Binder, Alberto, Derecho Procesal Penal, Buenos Aires, Editorial Ad-Hoc, 2013.
8.- Bricola, Franco, Teoría General del Delito, Editorial B de F, Buenos Aires, 2012.
9.- Cairoli Martínez, Milton Hugo, Cervini Raúl, Aller German, Nuevos Desafíos en el Derecho Penal
Económico, Tomo I, editorial B de F, Buenos Aires, 2012.
10.- Camacho Herold, Daniela, y Flor Rubianes, Jaime, Las presunciones como fundamento para
dictar una sentencia de condena, Quito, Corporación de Estudios y Publicaciones, 2009.
11.- Carrera Daniel, Pablo, director, Derecho Penal de los Negocios, Buenos Aires, Editorial Astrea,
2004.
12.- Chamorro López, Beyker, Teoría del Caso, Práctica de Derecho Procesal Penal, UPLA, Lima,
2012.
72
13.- Corporación de Estudios y Publicaciones, Legislación Penal (Código Penal y Código de
Procedimiento Penal) actualizados al mes de noviembre del 2013.
14.- Corporación de Estudios y Publicaciones, Código Orgánico Integral Penal, actualizado al mes
de agosto del 2014.
15.- Corporación de Estudios y Publicaciones, Código Orgánico Monetario y Financiero, septiembre
del 2014.
16.- Cuestaguado Paz, Mercedes de la, Sociedad Tecnológica y Globalización del Derecho Penal,
Mendoza, Argentina, Ediciones Jurídicas Cuyo, 2003.
17.- Donoso Castellón Arturo, Delitos contra el Patrimonio y contra los recursos de la
Administración Pública, Quito, Editora Jurídica Cevallos, 2008.
18.- Espitia Garzón, Fabio, Instituciones de Derecho Procesal Penal, octava edición, Editorial Legis,
Bogotá, 2011.
19.- Flores Prada, Ignacio, Criminalidad Informática, Aspectos Sustantivos y Procesales, editorial
Tirant Lo Blanch, Valencia, España, 2012.
20.- García Falconí, José, La Etapa del Juicio: La Audiencia de debate, la prueba y la sentencia en
el Nuevo Código de Procedimiento Penal, Quito, Ediciones Rodín, 2002.
21.- García Falconí, Ramiro, Código Orgánico Integral Penal comentado, Tomo I, Ada Editores,
Lima Perú, 2014.
22.- Jiménez Martínez, Javier, El Aspecto Jurídico de la Teoría del Caso, Editorial Ángel, primera
edición, México, 2012.
23.- Marchena Gómez, Manuel, Prevención de la Delincuencia Tecnológica, Navarra, España,
Editorial Arazandi, 2001.
24.- Mata y Martín, Ricardo, Delincuencia Informática y Derecho Penal, Edisofer, Madrid, 2001.
73
25.- Meek Neira, Michael, Delito Informático y Cadena de Custodia, Universidad Sergio Arboleda,
Escuela de Derecho, Departamento de Derecho Penal, primera edición, Bogotá, 2013.
26.- Muñoz Conde, Francisco, Derecho Penal Parte Especial, Valencia, España, décimo séptima
edición, Editorial Tirant Lo Blanch, 2009.
27.- Osorio y Nieto, César Augusto, Teoría del Caso y Cadena de Custodia, Editorial Porrúa,
México, 2011.
28.- Páez Rivadeneira, Juan José, Derecho y Nuevas Tecnologías, Quito, Corporación de Estudios
y Publicaciones, 2010.
29.- Palazzi, Pablo, Delitos Informáticos, Editorial Ad-Hoc, 2000.
30.- Reyna Alfaro, Luis Miguel, La Problemática de la Victima en el Derecho Penal, Reflexiones a
Propósito de la Criminalidad Informática, Mendoza, Argentina, Ediciones Jurídicas Cuyo,
2003.
31.- Riofrío Martínez-Villalba, Juan Carlos, La Prueba Electrónica, Editorial Temis, Bogotá,
Colombia, 2004.
32.- Riquert, Marcelo Alfredo, Derecho Penal Económico y Delincuencia Informática, Córdova,
Argentina, Editorial Mediterránea, 2006.
33.- Rodríguez-Aragón, Licesio, Tema 4, Internet y Teleinformática, Informática Básica,
Universidad Rey Juan Carlos, página 3, documento en Internet que consta en la dirección
web http://www.uclm.es/profesorado/licesio/Docencia/IB/IBTema4.pdf.
34.- Rodríguez Mourullo, Gonzalo, Derecho Penal e Internet, Madrid, Editorial La Ley, 2002.
35.- Rovira del Canto, Enrique, Delincuencia Informática y Fraudes Informáticos, Granada, España,
Editorial Comares, 2002.
36.- Roxín, Claus, Autoría y Dominio del Hecho en Derecho Penal, Madrid, Editorial Marcial Pons,
2000.
74
37.- Salamea Carpio, Diego, El Delito Informático y la Prueba Pericial Informática, Editorial Jurídica
del Ecuador, Quito, 2013.
38.- Salinas Siccha, Ramiro, Delitos contra el Patrimonio, Lima, editorial Grijley, 2010.
39.- Schiavo, Nicolás, Valoración Racional de la Prueba en Materia Penal, Editores del Puerto,
Buenos Aires, 2013.
40.- Sigüenza Bravo, Marco y Sigüenza Rojas, Juan Diego, Principios Rectores del Derecho Penal,
Casa de la Cultura Ecuatoriana “Benjamín Carrión” Núcleo del Cañar, Ecuador, 2012.
41.- Stratenwerth, Günter, Derecho Penal, Parte General, El Hecho Punible, Madrid, Editorial
Thomson Civitas, 2005.
42.- Thomson Reuters Arazandi, Delincuencia Informática, Tiempos de Cautela y Amparo,
Monografía de Doctrina, primera edición, Pamplona, España, 2012.
43.- Tomeo Fernando, Redes Sociales y Tecnologías 2.0, segunda edición, editorial Astrea, Buenos
Aires, 2014.
44.- Valdivieso Arias, Luis Felipe, Seminario: Litigación Oral en Materia Penal, Universidad Técnica
Particular de Loja, primera edición, 2012.
45.- Welzel, Hans, Derecho Penal Alemán, Santiago de Chile, Editorial Jurídica de Chile, 2011.
46.- Zabala Baquerizo, Jorge, El Debido Proceso Penal, Quito, Editorial Edino, 2002.
47.- Zambrano Pasquel, Alfonso, Estudio Introductorio al Código Orgánico Integral Penal, tomos I, II
y III, Corporación de Estudios y Publicaciones, Quito, 2013.
48.- Zárate Barreiros, Milton Gustavo, Manual de Investigación Criminalística Básica, Universidad
Técnica Particular de Loja, primera edición, Loja, 2013.