FRAUDES INFORMÁTICOS EN BOLIVIA AUDITORIA DE SISTEMAS UNIVERSIDAD CATOLICA DE BOLIVIA Loretta Isabel Vacaflor Vera Fradues Informáticos 1. Introducción Bolivia no esta excenta de los fraudes informáticos, pudiendo ser estos abundantes en diferentes ambitos de nuestra sociedad, pero nunca sancionados debido a los grandes vacios legales al respecto. Sin embargo los fraudes descubiertos y con procesos inciados existen, estos se aplican a las leyes vigentes. 2. Legislación Boliviana 2.1. Ley # 1768 - Capitulo XI - Delitos Informáticos En Bolivia, en el año de 1989, se consideró el análisis y tratamiento sobre Legislación Informática concerniente a contratación de bienes y servicios informáticos, flujo de información computarizada, modernización del aparato productivo nacional mediante la investigación científico-tecnológica en el país y la incorporación de nuevos delitos emergentes del uso y abuso de la informática. Este conjunto de acciones tendientes a desarrollar de manera integral la informática, se tradujo en el trabajo de especialistas y sectores involucrados, representantes en el campo industrial, profesionales abogados y especialistas informáticos, iniciándose la elaboración del Proyecto de Ley Nacional de Informática, concluido en febrero de 1991. Asimismo, el Código Penal Boliviano, texto ordenado según ley # 1768 de 1997, incorpora en el Título X un capítulo destinado a los Delitos Informáticos. Ambos cuerpos legales tratan de manera general los nuevos delitos emergentes del uso de la informática. La Ley # 1768, no obstante de no estar exenta de la problemática actual, al abordar en el Capítulo XI la tipificación y penalización de delitos informáticos, no contempla la descripción de estas conductas delictivas detalladas anteriormente. Por consiguiente, la atipicidad de las mismas en nuestro ordenamiento jurídico penal vigente imposibilita una calificación jurídicolegal que individualice a la mismas, llegando a existir una alta cifra de criminalidad e impunidad, haciéndose imposible sancionar como delitos, hechos no descriptos en la legislación penal con motivo de una extensión extra legal del ilícito penal ya que se estaría violando el principio de legalidad expreso en la máxima “Nullum crime sine lege” Así mismo resulta imposible extender el concepto de bienes muebles e inmuebles a bienes incorporales como ser los datos, programas e informaci´on computarizada[1]. 2.1.1. Articulo 363 bis.- (Manipulación informática) El con la intención de obtener un beneficio indebido para sí o un tercero, manipule un procesamiento o transferencia de datos informáticos que conduzca a un resultado incorrecto o evite un proceso tal cuyo resultado habría sido correcto, ocasionando de esta manera una transferencia patrimonial en perjuicio de tercero, será sancionado con reclusión de uno a cinco años y con multa de sesenta a doscientos días[2]. 2.1.2. Articulo 363 ter.- (Alteración, acceso y uso indebido de datos informáticos) El que sin estar autorizado se apodere, acceda, utilice, modifique, suprima o inutilice datos almacenados en una computadora o en cualquier soporte informático, ocasionando perjuicio al titular de la información, será sancionado con prestación de trabajo hasta un año o multa hasta doscientos días[2]. 3. Fraudes en entidades públicas 3.1. Recaudación de Impuestos de Inmuebles Año: 1999 - 2001 Institución: 6 Goviernos Municipales entre grandes y medianos. Interventor: Contraloría General de la República (GESI) 3.1.1. Modus Operandi Los cajeros con pocas habilidades informáticas o en colusiónn con personal de sistemas. Se instalaban el FOXPRO en las terminales. Indagaban las bases de datos donde se registraban los cobros de recaudaciones y los parámetros de construcción de inmuebles que hacen al cálculo del impuesto. Al finalizar el día de la recaudación lograban acceso a las bases de datos. Modificaban parámetros de construcción del inmueble para reprocesar la liquidación del impuesto de algunos inmuebles logrando que se reduzca el importea pagar. Reimprimian boletas de pago, quedándose con el saldo en efectivo del cobro. En otros casos, modificaban directamente en la base de datos, el importe cobrado o cambiaban la fecha de cobro para evitar que se reporte en el arqueo de cajas. Esto por la ausencia de seguridades y deficiente ambiente de control interno. 3.2. Planillas de Sueldo de personal de sistemas Año: 2006 Institución: Auditor: Entidad pública AUD IT Consulting Group S.R.L. 3.2.1. Modus Operandi El analista/programador que desarrolló el sistema de planillas de sueldo para la entidad incluía dentro del programa fuente, luego compilarlo, instrucciones de condiciónque preguntaban si el registro en curso para el proceso de planillas correspondía a un ítem del personal de sistemas no llamaba a la función para el cáculo demultas por atrasos o faltas, caso contrario efectuaba el proceso normal para todoel resto del personal. La incorporación del código malicioso efectuaba días antes del procesamiento de planillas cerca de fin de mes. Pasado el proceso de planillas y emisión de boletas de pago, el Analista/Programadorrestituía el programa original sin el código malicioso. [3] 3.3. Cobro por tarifas del servicio eléctrico Año: 2001 Institución: 3 Municipios Interventor: Contraloría General de la República de Bolivia (GESI) 3.3.1. Modus Operandi Las cajas se cerraban a las 5 de la tarde, sin embargo, una de las cajeras cerraba la caja 10 minutos antes de la cinco de la tarde. Retenía entre cinco y diez comprobantes diarios que fueron introducidos al sistema. Inmediatamente entregaba al encargado de sistemas, quien abría la base de datos y les borraba como ingresos del día realmente recaudado y les registraba en un mes anterior con importes mínimos. Ambos, la cajera y el encargado de sistemas tomaban el dinero. [3] 4. Fraudes en entidades financieras del año 2008 En el Tribunal Constitucional podemos encontrar Recursos interpuestos ante esta instacia relacionados a "delitos informáticos" (Código Penal Art. 363bis Manipulación Informática y 363ter Alteración, acceso y uso indebido de datos informáticos), los más interesantes son los siguientes de los cuales realizo una extracción de los aspectos que considero más relevantes: 4.1. 4.2. Sentencia Constitucional Nº1177/01 -R Distrito:Santa Cruz Supuestos Delitos: Estafa, falsedad ideológica, abuso de confianza, apropiación indebida, asociación delictuosa, manipulación informática, y alteración y uso indebido de datos informáticos. Institución financiera: Fondo Financiero Privado “AAA” S.A. Recurso presentado: Hábeas Corpus por detención ilegal y procesamiento indebido, pide inmediata libertad a su representado. Argumentos Acusado: • No existe firma del Fiscal como tampoco del Policía que recibió "la supuesta declaración" • No se ha notificado al imputado con las supuestas querellas que existen en su contra, habiéndole privado de su derecho a la defensa [4] Sentencia Constitucional 1075/2003 –R Distrito:Cochabamba 4.3. Supuestos Delitos: Manipulación informática Juicio oral penal ante el Tribunal de Sentencia Tercero de Cochabamba Institución financiera: Banco “BBB” S.A. Recurso presentado: Hábeas corpus alegando la vulneración del derecho a la doble instancia, solicita se disponga la nulidad del Auto de Vista que declara inadmisible su apelación. Resultados: • El 18 de noviembre de 2002, se dictó sentencia que la condena a tres años y cinco meses de reclusión: Interpuso recurso de apelación restringida • El recurso de apelación restringida se declaró inadmisible su apelación con el argumento de no haber cumplido con los requisitos formales: Quedó la acusada en plena indefensión y tutela efectiva con su recurso. • Declarar PROCEDENTE el recurso de Hábeas Corpus planteado.[4] Sentencia Constitucional 0296/2005 -R Distrito:Santa Cruz Supuestos Delitos: Estafa agravada y manipulación informática Penas: 3 a 10 años Institución financiera: Cooperativa de Ahorro y Crédito “CCC Ltda.” Recurso presentado: Habeas Corpus contra el fiscal de Materia para la suspensión de la orden de aprehensión de la acusada. Denuncia: La nombrada a través de artificiosas manipulaciones e información de documentos, y aprovechando su condición de responsable del procesamiento de información crediticio y en su condición de Jefa de Crédito de la Cooperativa de Ahorro y Crédito “CCC” Ltda., logró desviar dineros en beneficio personal en la suma de $us169.600.- en coordinación con otras dos personas con quienes tenía cuenta de ahorros mancomunada. Argumentos Acusada: • El delito de estafa agravado implica multiplicidad de víctimas • No podían acusar a su representada de estafa agravada, por cuanto no se reunió con el Directorio ni hizo incurrir en error a los socios de la Cooperativa, no existió relacionamiento directo entre estafador y víctima Resultados: • Declarar IMPROCEDENTE el recurso. [4] 5. Conclusiones Si bien solo se mencionan 3 insitutuciones, esto no quiere decir que en las demás intituciones financieras no existió por lo menos un delito informático, muchos de los casos no llegan ni a la etapa de denuncia por cuidar la imagen de la institución y no afectar la confianza del público Cuando se imputa a una persona por un delito informático, generalmente el 363 bis Manipulación Informática (sólo este tiene pena de cárcel), la imputación incluye además otros delitos con más o menos años de cárcel, por ejemplo abuso de confianza, hurto, uso de instrumento falsificado, estafa agravada, etc. Esto se da porque si bien se pueden manipular los datos de entrada, el proceso o la salida de datos, estos datos en algún momento se reflejan en un papel firmado/rubricado o para causar el daño patrimonial establecido en el 363 bis, alguien deberá recibir el dinero físicamente. Los delitos informáticos en muchos casos no se castigan por defectos procesales, al igual que otro tipo de delitos, en este punto debemos resaltar la falta de capacitación del Personal de la fuerza de la Ley (policía y fiscales) en el secuestro de evidencia digital y la preservación de la cadena de custodia de la misma. En los últimos tiempos existe un auge de peritajes informáticos, quizá no tanto porque se cometen más delitos informáticos, sino más bien por la tecnificación de los delincuentes, cometen los mismos delitos con ayuda de la tecnología. Como consecuencia del desconocimiento de las Nuevas Tecnologías por parte de la mayoría de los Jueces y Fiscales, existe una excesiva dependencia que recae en los "Peritos Informáticos" y esto no solamente se da en Bolivia, por ejemplo en Argentina varios de los expositores en el VII Seminario sobre Delitos en Tecnología (www), también se manifestaron al respecto. 6. Referencias [1]. Nuevas formas de delinquir en la Era Tecnológica: Primeras observaciones sobre Espionaje, Fraude y Sabotaje Inform´atico, Erika Patricia Tinajeros Arce, visto el 11 de octubre del 2007, dispobible en: http://www.alfa-redi.org/rdi.shtml [2]. Codigo Penal, Ley # 1768, Capitulo XI, Delitos Informáticos. [3]. Entrevista con Ing. Wilson Andia Cuiza, CISA, ISO 27001 LA, http://www.auditsrl.com/. [4]. Novedades bolivianas en seguridad y TI Miércoles 8 de octubre de 2008, por frauditor, disponible en: http://www.nobosti.com/spip.php?article395