Fradues Informaticos

Anuncio
FRAUDES INFORMÁTICOS EN BOLIVIA
AUDITORIA DE SISTEMAS
UNIVERSIDAD CATOLICA DE BOLIVIA
Loretta Isabel Vacaflor Vera
Fradues Informáticos
1. Introducción
Bolivia no esta excenta de los fraudes informáticos, pudiendo ser estos abundantes en
diferentes ambitos de nuestra sociedad, pero nunca sancionados debido a los grandes vacios
legales al respecto. Sin embargo los fraudes descubiertos y con procesos inciados existen,
estos se aplican a las leyes vigentes.
2. Legislación Boliviana
2.1. Ley # 1768 - Capitulo XI - Delitos Informáticos
En Bolivia, en el año de 1989, se consideró el análisis y tratamiento sobre Legislación
Informática concerniente a contratación de bienes y servicios informáticos, flujo de información
computarizada, modernización del aparato productivo nacional mediante la investigación
científico-tecnológica en el país y la incorporación de nuevos delitos emergentes del uso y
abuso de la informática.
Este conjunto de acciones tendientes a desarrollar de manera integral la informática, se
tradujo en el trabajo de especialistas y sectores involucrados, representantes en el campo
industrial, profesionales abogados y especialistas informáticos, iniciándose la elaboración del
Proyecto de Ley Nacional de Informática, concluido en febrero de 1991.
Asimismo, el Código Penal Boliviano, texto ordenado según ley # 1768 de 1997,
incorpora en el Título X un capítulo destinado a los Delitos Informáticos. Ambos cuerpos legales
tratan de manera general los nuevos delitos emergentes del uso de la informática.
La Ley # 1768, no obstante de no estar exenta de la problemática actual, al abordar en
el Capítulo XI la tipificación y penalización de delitos informáticos, no contempla la descripción
de estas conductas delictivas detalladas anteriormente. Por consiguiente, la atipicidad de las
mismas en nuestro ordenamiento jurídico penal vigente imposibilita una calificación jurídicolegal que individualice a la mismas, llegando a existir una alta cifra de criminalidad e impunidad,
haciéndose imposible sancionar como delitos, hechos no descriptos en la legislación penal con
motivo de una extensión extra legal del ilícito penal ya que se estaría violando el principio de
legalidad expreso en la máxima “Nullum crime sine lege” Así mismo resulta imposible extender
el concepto de bienes muebles e inmuebles a bienes incorporales como ser los datos,
programas e informaci´on computarizada[1].
2.1.1. Articulo 363 bis.- (Manipulación informática)
El con la intención de obtener un beneficio indebido para sí o un tercero, manipule un
procesamiento o transferencia de datos informáticos que conduzca a un resultado incorrecto o
evite un proceso tal cuyo resultado habría sido correcto, ocasionando de esta manera una
transferencia patrimonial en perjuicio de tercero, será sancionado con reclusión de uno a cinco
años y con multa de sesenta a doscientos días[2].
2.1.2. Articulo 363 ter.- (Alteración, acceso y uso indebido de datos informáticos)
El que sin estar autorizado se apodere, acceda, utilice, modifique, suprima o inutilice
datos almacenados en una computadora o en cualquier soporte informático, ocasionando
perjuicio al titular de la información, será sancionado con prestación de trabajo hasta un año o
multa hasta doscientos días[2].
3. Fraudes en entidades públicas
3.1.
Recaudación de Impuestos de Inmuebles
Año:
1999 - 2001
Institución:
6 Goviernos Municipales entre grandes y medianos.
Interventor:
Contraloría General de la República (GESI)
3.1.1. Modus Operandi
 Los cajeros con pocas habilidades informáticas o en colusiónn con personal de
sistemas.
 Se instalaban el FOXPRO en las terminales.
 Indagaban las bases de datos donde se registraban los cobros de recaudaciones
y los parámetros de construcción de inmuebles que hacen al cálculo del
impuesto.
 Al finalizar el día de la recaudación lograban acceso a las bases de datos.
 Modificaban parámetros de construcción del inmueble para reprocesar la
liquidación del impuesto de algunos inmuebles logrando que se reduzca el
importea pagar.
 Reimprimian boletas de pago, quedándose con el saldo en efectivo del cobro.
 En otros casos, modificaban directamente en la base de datos, el importe
cobrado o cambiaban la fecha de cobro para evitar que se reporte en el arqueo
de cajas.
 Esto por la ausencia de seguridades y deficiente ambiente de control interno.
3.2.
Planillas de Sueldo de personal de sistemas
Año:
2006
Institución:
Auditor:
Entidad pública
AUD IT Consulting Group S.R.L.
3.2.1. Modus Operandi
 El analista/programador que desarrolló el sistema de planillas de sueldo para la
entidad incluía dentro del programa fuente, luego compilarlo, instrucciones de
condiciónque preguntaban si el registro en curso para el proceso de planillas
correspondía a un ítem del personal de sistemas no llamaba a la función para el
cáculo demultas por atrasos o faltas, caso contrario efectuaba el proceso normal
para todoel resto del personal. La incorporación del código malicioso efectuaba
días antes del procesamiento de planillas cerca de fin de mes.
 Pasado el proceso de planillas y emisión de boletas de pago, el
Analista/Programadorrestituía el programa original sin el código malicioso. [3]
3.3.
Cobro por tarifas del servicio eléctrico
Año:
2001
Institución:
3 Municipios
Interventor:
Contraloría General de la República de Bolivia (GESI)
3.3.1. Modus Operandi
 Las cajas se cerraban a las 5 de la tarde, sin embargo, una de las cajeras
cerraba la caja 10 minutos antes de la cinco de la tarde.
 Retenía entre cinco y diez comprobantes diarios que fueron introducidos al
sistema.
 Inmediatamente entregaba al encargado de sistemas, quien abría la base de
datos y les borraba como ingresos del día realmente recaudado y les registraba
en un mes anterior con importes mínimos.
 Ambos, la cajera y el encargado de sistemas tomaban el dinero. [3]
4. Fraudes en entidades financieras del año 2008
En el Tribunal Constitucional podemos encontrar Recursos interpuestos ante esta
instacia relacionados a "delitos informáticos" (Código Penal Art. 363bis Manipulación
Informática y 363ter Alteración, acceso y uso indebido de datos informáticos), los más
interesantes son los siguientes de los cuales realizo una extracción de los aspectos que
considero más relevantes:
4.1.
4.2.
Sentencia Constitucional Nº1177/01 -R
 Distrito:Santa Cruz
 Supuestos Delitos: Estafa, falsedad ideológica, abuso de confianza, apropiación
indebida, asociación delictuosa, manipulación informática, y alteración y uso
indebido de datos informáticos.
 Institución financiera: Fondo Financiero Privado “AAA” S.A.
 Recurso presentado: Hábeas Corpus por detención ilegal y procesamiento
indebido, pide inmediata libertad a su representado.
 Argumentos Acusado: • No existe firma del Fiscal como tampoco del Policía que
recibió "la supuesta declaración" • No se ha notificado al imputado con las
supuestas querellas que existen en su contra, habiéndole privado de su derecho
a la defensa [4]
Sentencia Constitucional 1075/2003 –R
 Distrito:Cochabamba




4.3.
Supuestos Delitos: Manipulación informática Juicio oral penal ante el Tribunal de
Sentencia Tercero de Cochabamba
Institución financiera: Banco “BBB” S.A.
Recurso presentado: Hábeas corpus alegando la vulneración del derecho a la
doble instancia, solicita se disponga la nulidad del Auto de Vista que declara
inadmisible su apelación.
Resultados: • El 18 de noviembre de 2002, se dictó sentencia que la condena a
tres años y cinco meses de reclusión: Interpuso recurso de apelación restringida •
El recurso de apelación restringida se declaró inadmisible su apelación con el
argumento de no haber cumplido con los requisitos formales: Quedó la acusada
en plena indefensión y tutela efectiva con su recurso. • Declarar PROCEDENTE
el recurso de Hábeas Corpus planteado.[4]
Sentencia Constitucional 0296/2005 -R
 Distrito:Santa Cruz
 Supuestos Delitos: Estafa agravada y manipulación informática Penas: 3 a 10
años Institución financiera: Cooperativa de Ahorro y Crédito “CCC Ltda.”
 Recurso presentado: Habeas Corpus contra el fiscal de Materia para la
suspensión de la orden de aprehensión de la acusada.
 Denuncia: La nombrada a través de artificiosas manipulaciones e información de
documentos, y aprovechando su condición de responsable del procesamiento de
información crediticio y en su condición de Jefa de Crédito de la Cooperativa de
Ahorro y Crédito “CCC” Ltda., logró desviar dineros en beneficio personal en la
suma de $us169.600.- en coordinación con otras dos personas con quienes tenía
cuenta de ahorros mancomunada.
 Argumentos Acusada: • El delito de estafa agravado implica multiplicidad de
víctimas • No podían acusar a su representada de estafa agravada, por cuanto
no se reunió con el Directorio ni hizo incurrir en error a los socios de la
Cooperativa, no existió relacionamiento directo entre estafador y víctima
 Resultados: • Declarar IMPROCEDENTE el recurso. [4]
5. Conclusiones
Si bien solo se mencionan 3 insitutuciones, esto no quiere decir que en las demás
intituciones financieras no existió por lo menos un delito informático, muchos de los casos no
llegan ni a la etapa de denuncia por cuidar la imagen de la institución y no afectar la confianza
del público
Cuando se imputa a una persona por un delito informático, generalmente el 363 bis
Manipulación Informática (sólo este tiene pena de cárcel), la imputación incluye además otros
delitos con más o menos años de cárcel, por ejemplo abuso de confianza, hurto, uso de
instrumento falsificado, estafa agravada, etc. Esto se da porque si bien se pueden manipular los
datos de entrada, el proceso o la salida de datos, estos datos en algún momento se reflejan en
un papel firmado/rubricado o para causar el daño patrimonial establecido en el 363 bis, alguien
deberá recibir el dinero físicamente.
Los delitos informáticos en muchos casos no se castigan por defectos procesales, al
igual que otro tipo de delitos, en este punto debemos resaltar la falta de capacitación del
Personal de la fuerza de la Ley (policía y fiscales) en el secuestro de evidencia digital y la
preservación de la cadena de custodia de la misma.
En los últimos tiempos existe un auge de peritajes informáticos, quizá no tanto porque se
cometen más delitos informáticos, sino más bien por la tecnificación de los delincuentes,
cometen los mismos delitos con ayuda de la tecnología.
Como consecuencia del desconocimiento de las Nuevas Tecnologías por parte de la
mayoría de los Jueces y Fiscales, existe una excesiva dependencia que recae en los "Peritos
Informáticos" y esto no solamente se da en Bolivia, por ejemplo en Argentina varios de los
expositores en el VII Seminario sobre Delitos en Tecnología (www), también se manifestaron al
respecto.
6. Referencias
[1]. Nuevas formas de delinquir en la Era Tecnológica: Primeras observaciones sobre
Espionaje, Fraude y Sabotaje Inform´atico, Erika Patricia Tinajeros Arce, visto el 11 de
octubre del 2007, dispobible en: http://www.alfa-redi.org/rdi.shtml
[2]. Codigo Penal, Ley # 1768, Capitulo XI, Delitos Informáticos.
[3]. Entrevista con Ing. Wilson Andia Cuiza, CISA, ISO 27001 LA, http://www.auditsrl.com/.
[4]. Novedades bolivianas en seguridad y TI Miércoles 8 de octubre de 2008, por frauditor,
disponible en: http://www.nobosti.com/spip.php?article395
Descargar