UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA

La Universidad Católica de Loja

ÁREA SOCIO HUMANÍSTICA

TÍTULO DE ESPECIALISTA EN DERECHO PROCESAL PENAL

Teoría del Caso de los delitos que afectan a las instituciones del sistema

financiero, cometidos a través de medios informáticos y electrónicos

TRABAJO DE FIN DE TITULACIÓN.

AUTOR: Sempértegui Fernández, Luis Fernando

DIRECTOR: Torres Regalado, Enrique Tiberio, Dr.

CENTRO UNIVERSITARIO QUITO

2015

APROBACIÓN DEL DIRECTOR DEL TRABAJO DE FIN DE ESPECIALISTA

Doctor Enrique Tiberio Torres Regalado DOCENTE DE LATITULACIÓN

De mi consideración:

El presente trabajo de fin de especialista denominado: “Teoría del Caso de los delitos que

afectan a las instituciones del sistema financiero, cometidos a través de medios informáticos

y electrónicos”, realizado por Luis Fernando Sempértegui Fernández, ha sido orientado y

revisado durante su ejecución, por cuanto se aprueba la presentación del mismo.

Azogues, abril del 2015.

f)………………………………..

ii

DECLARACIÓN DE AUTORÍA Y CESIÓN DE DERECHOS

Yo, Luis Fernando Sempértegui Fernández, declaro ser autor del presente trabajo de fin de

especialidad: “Teoría del Caso de los delitos que afectan a las instituciones del sistema

financiero, cometidos a través de medios informáticos y electrónicos”, de la Titulación

Especialidad en Derecho Procesal Penal, siendo el Doctor Enrique Tiberio Torres Regalado

director del presente trabajo; y, eximo expresamente a la Universidad Técnica Particular

de Loja y a sus representantes legales de posibles reclamos o acciones legales. Además

certifico que las ideas, conceptos, procedimientos y resultados vertidos en el presente

trabajo investigativo, son de mi exclusiva responsabilidad.

Adicionalmente, declaro conocer y aceptar la disposición del Art. 88 del Estatuto

Orgánico de la Universidad Técnica Particular de Loja que en su parte pertinente

textualmente dice: “Forman parte del patrimonio de la Universidad la propiedad

intelectual de investigaciones, trabajos científicos o técnicos y tesis de grado que se

realicen con el apoyo financiero, académico o institucional (operativo) de la Universidad”.

f)……………………………………………………..

Autor: Luis Fernando Sempértegui Fernández.

Cédula: 171124800-3

iii

AGRADECIMIENTO

Mi eterna gratitud a quienes me han apoyado en esta etapa decisiva de crecimiento, en mi

formación personal y profesional: mis padres, mi hermano, mi familia. También agradezco a

todos aquellos seres queridos que son y seguirán siendo para mí, un ejemplo permanente

de bondad, de virtud y de coraje frente a la adversidad: mi hermana y mis abuelos, siempre

presentes en mi corazón.

iv

DEDICATORIA

La presente tesina representa una culminación madura de una etapa laboral y de arduo

estudio, dedicado a la construcción de estructuras para buenas prácticas bancarias, por lo

que me permito dedicar esta pequeña obra, a la sociedad ecuatoriana, como un aporte en la

búsqueda de la mejor comprensión de las nuevas tecnologías que caracterizan las

operaciones del sistema financiero nacional en relación a sus clientes, y el tratamiento que

debe darse a las mismas, para identificar y prevenir los delitos que se cometen a través de

medios informáticos y electrónicos.

v

ÍNDICE DE CONTENIDOS

Página

Carátula

Aprobación del Director del Trabajo de Fin de Especialidad

Declaración de autoría y cesión de derechos

i

ii

iii

Agradecimiento iv

Dedicatoria v

Índice de contenidos vi

RESUMEN

ABSTRACT

1

2

INTRODUCCIÓN 3

CAPÍTULO I: DELITOS INFORMÁTICOS PERPETRADOS A TRAVÉS DE

SISTEMAS INFORMÁTICOS Y ELECTRÓNICOS

5

1.- Definición de delito informático 6

2.- Clasificación de los delitos informáticos 8

3.- Problemas especiales en la persecución de los delitos informáticos 16

CAPÍTULO II: DELITOS INFORMÁTICOS Y ELECTRÓNICOS QUE AFECTAN A

LAS INSTITUCIONES DEL SISTEMA FINANCIERO, ESTABLECIDAS EN EL

NUEVO CÓDIGO ORGÁNICO INTEGRAL PENAL

17

1.- El nuevo Código Orgánico Integral Penal y la doctrina final de la acción 18

2.- Los delitos patrimoniales e informáticos en el nuevo Código Orgánico Integral

Penal con relación al ámbito bancario

19

2.1. Delitos patrimoniales que se cometen por medios informáticos 19

2.2. Delitos informáticos y electrónicos que afectan a los clientes, actividades y

productos del sistema financiero

21

CAPÍTULO III: TEORÍA DEL CASO DE LOS DELITOS INFORMÁTICOS Y

ELECTRÓNICOS QUE AFECTAN A LAS INSTITUCIONES DEL SISTEMA

FINANCIERO

29

1.- ¿Qué es la teoría del caso? 30

2.- Componentes o elementos de la teoría del caso 31

vi

Página

2.2. Elemento fáctico 31

2.1. Elemento probatorio 32

2.3. Elemento jurídico 32

3.- Desarrollo de la teoría del caso, en dos (2) ejemplos prácticos aplicados al

sistema bancario, de delitos cometidos a través de medios informáticos y

electrónicos, desde las perspectivas estratégicas de la Fiscalía y de la defensa del

procesado.

33

N° 1: Teoría del caso de la Fiscalía 33

N° 2: Teoría del caso de la defensa del procesado 43

CAPÍTULO IV: CADENA DE CUSTODIA EN LOS DELITOS INFORMÁTICOS Y

ELECTRÓNICOS QUE AFECTAN A LAS INSTITUCIONES DEL SISTEMA

FINANCIERO

54

1.- ¿Qué es la cadena de custodia? 55

2.- Evidencia digital y sus diferencias con la prueba documental 56

3.- Proceso de cadena de custodia de las evidencias o indicios de los delitos

informáticos y electrónicos que afectan al sistema bancario ecuatoriano.

3.1. Conservación de la evidencia informática

3.2. Conservación de la evidencia de medios electrónicos

58

59

61

CONCLUSIONES 63

RECOMENDACIONES

BIBLIOGRAFÍA

67

71

vii

1

RESUMEN

En la presente investigación se realiza un análisis teórico práctico, a la luz del nuevo Código

Orgánico Integral Penal, de los escenarios del delito informático y del delito electrónico. El

lugar de los hechos en los delitos de apropiación ilícita por medios informáticos es un

escenario virtual en donde destaca el punto o lugar de origen de los ataques, el uso de

computadores o servidores informáticos para efectos de perpetrar el delito, y las cuentas de

los clientes de los bancos como destino de los ataques. Así mismo, en los delitos que se

consuman atacando canales electrónicos, se instalan aparatos conocidos como skimmer.

Estos aparatos copian los datos e información de los clientes cuando utilizan sus tarjetas de

débito o crédito, falsificando posteriormente la identidad electrónica del usuario y clonando

su tarjeta para retirar fondos de su cuenta.

Esta investigación describe y evalúa los mejores métodos y estrategias de construcción de

una Teoría del Caso; esquema fáctico, probatorio y jurídico que permite litigar con eficacia,

tanto al abogado defensor (público o privado) como a la Fiscalía, en materia de delitos

informáticos y electrónicos.

PALABRAS CLAVES: Teoría del Caso, apropiación ilícita, skimming, escenario virtual,

canales electrónicos, identidad electrónica, clientes bancarios.

2

ABSTRACT

The present research carries out a theoretical/practical analysis of cybercrime and

electronic crime; analysis based on the new Ecuadorian “Integral Penalty Law Code”.

These felonies of misappropriation take place in a virtual environment, where the

following elements are considered as important: the place where the attacks are

originated, the use of computers or computer servers to perform the crime, and the

bank accounts which are targets of these attacks. Likewise, in felonies achieved by

attacking electronic devices, criminals use a gadget known as the “skimmer”. This

gadget copies the clients’ information when a credit or debit card is used.

Subsequently, the criminals clone these cards and then falsify the electronic identity

of the users in order to withdraw funds from their accounts.

This research describes and evaluates the best methods and strategies to ensemble

a Case Theory; a factual, probative and legal scheme that allows both the attorney

(public or private) and the prosecutor, to litigate efficiently on cybercrimes and

electronic crimes.

KEY WORDS: Case Theory, Misappropriation, skimming, virtual environment,

electronic means, electronic identity, bank clients.

3

INTRODUCCIÓN

Los delitos perpetrados a través de sistemas informáticos, canales y dispositivos

electrónicos, son muy comunes en la actualidad. Este tipo de infracciones afectan de

manera grave a los clientes e instituciones del sistema financiero nacional privado y

constituyen un tipo de delincuencia especial, suscitada en un escenario distinto al de otros

ilícitos (se desenvuelve a través de redes y canales informáticos o electrónicos). La finalidad

de estos delitos es la apropiación ilícita de los dineros que han sido confiados por la

ciudadanía a los bancos, afectando a su patrimonio, y, minando a su vez, la confianza que el

público tiene puesta en el sistema bancario.

La Teoría del Caso en el contexto del nuevo Código Orgánico Penal Integral (COIP) hace

posible determinar con eficacia los elementos con los cuales debe contar la Fiscalía para

poder establecer, desde los puntos de vista jurídico, fáctico y probatorio, la sustentación de

la materialidad del delito cometido, y la responsabilidad o imputabilidad a los responsables

del ilícito; elementos que exige la ley penal para que se dicte sentencia que declare la

culpabilidad y se aplique la correspondiente pena.

Este tema tiene relevancia en la sociedad, por lo que su estudio contribuye a establecer una

estrategia de apoyo al combate de los delitos contra el patrimonio perpetrados por medios

informáticos y electrónicos. Muchas veces, la falta de conservación del elemento probatorio

en este tipo de infracciones, genera que la Fiscalía se vea disminuida en cuanto a su

intervención en las distintas fases del proceso penal, y que muchos casos se desestimen o

archiven por causa de una incorrecta conducción de la investigación penal de este tipo de

delitos.

En la actualidad, es importante para el buen ejercicio profesional de los abogados y para el

eficiente desempeño de los fiscales, la elaboración de una teoría fáctica y jurídica adecuada

para los delitos informáticos y electrónicos, que les permita sustentar eficientemente ante los

jueces, la verificación de los elementos del tipo penal, en concordancia con los hechos

fácticamente determinados, para que se establezca sin duda alguna, la adecuación típica

correcta de los hechos constitutivos del delito informático o electrónico, sea para que se

determine la responsabilidad del sujeto o sujetos imputados, o para que se ratifique su

estado de inocencia.

4

Los elementos constitutivos de materialidad que generan los tipos penales correspondientes

a los delitos patrimoniales que se cometen a través de medios informáticos y electrónicos

que afectan a los clientes de las instituciones del sistema financiero nacional, configuran una

nueva forma de perpetrar el delito, a través de la eliminación de la identidad real del

delincuente informático, cuya volición en busca de un resultado dañoso, se verifica en la

utilización de elementos empleados para violentar las seguridades informáticas y

electrónicas de los productos bancarios que utilizan los clientes de las instituciones del

sistema financiero nacional. La IP (Internet Protocol) y las redes informáticas, constituyen el

nuevo escenario en el cual se debe determinar científicamente, cuáles son los mecanismos

que permiten realizar la consumación de los tipos penales correspondientes a los delitos de

estafa electrónica, apropiación ilícita por medios informáticos y, los delitos que se cometen

contra la seguridad de los activos de los sistemas de información y comunicación. El

conocimiento pericial es vital para el diagnóstico de la existencia de estos delitos y la

determinación de sus posibles responsables.

Otro tema de singular interés para el sistema de justicia ecuatoriano, es el correcto uso de la

cadena de custodia, y, la obtención, conservación y almacenamiento adecuado de los

elementos probatorios, tanto en delitos que utilizan el software como medio o finalidad, así

como en los delitos en que se utilizan o se afectan los medios electrónicos, especialmente

en los ilícitos que afectan a los clientes de las instituciones del sistema financiero nacional.

Este estudio desarrolla en su contenido, la doctrina que sustenta la teoría jurídica de los

delitos informáticos y electrónicos y los instrumentos internacionales que esbozan políticas

de combate y prevención de la ciberdelincuencia; se enfoca también en el análisis jurídico

de las figuras de los delitos patrimoniales que se cometen a través de medios informáticos y

de los delitos que se cometen en contra la seguridad de los activos de los sistemas de

información y comunicación constantes en el COIP; se examina y se aplica la metodología

de la Teoría del Caso para los delitos informáticos y electrónicos desde la óptica de la

Fiscalía y de la del abogado defensor de los procesados; y, se establecen los parámetros

del correcto manejo de la cadena de custodia, esto es, las medidas de extracción,

conservación y almacenamiento que deben utilizarse para la preservación de la evidencia

material o virtual que deja como huella la comisión de los delitos informáticos y electrónicos.

CAPÍTULO I

DELITOS INFORMÁTICOS O PERPETRADOS A TRAVÉS DE SISTEMAS

INFORMÁTICOS Y ELECTRÓNICOS

6

1.- Definición de delito informático

El tratadista Luis Azaola Calderón1 diferencia aquellos delitos que se cometen en contra del

software y en contra del hardware de un computador, respecto de los delitos ejecutados

contra la memoria de los ordenadores. Los actos de agresión en contra de los elementos

materiales del sistema computacional, constituyen daños contra la propiedad, mientras que

los delitos que son perpetrados en contra del software, afectan financieramente en particular

a las empresas que son dueñas de los programas informáticos. Finalmente, los delitos en

contra de los datos que reposan en la memoria de un computador, afectan patrimonialmente

a las personas.

No comparto con el citado autor la relevancia discreta que le presta a los delitos que se

cometen por vía internet, la cual la refiere al atentado en contra de sistemas informáticos

gubernamentales. En la actualidad, y particularmente en el Ecuador, el internet y las

plataformas informáticas han servido como base de la comisión de infracciones “a distancia”,

dándole un carácter internacional a la extracción ilícita de fondos de clientes de las

instituciones del sistema financiero nacional.

El cibercrimen se ha convertido en una modalidad usual de atentado en contra de los

dineros de personas y empresas, siempre buscando las maneras de quebrar las

seguridades y sistemas de protección que los bancos y otras instituciones financieras

implementan para ofrecer una correcta custodia de estos fondos de sus clientes. Es el

delincuente sin rostro el que aparece en escena en estos delitos, en los cuales apenas

asoma la cara visible de un primer beneficiario (generalmente se trata de quien recibe el

dinero como producto de la transacción fraudulenta en su cuenta bancaria), dudoso

testaferro de quienes a nivel internacional manejan y promueven las raíces del crimen

informático.

Otro tipo de análisis es el que realiza Juan Carlos Riofrío Martínez-Villalba2, quien establece

diferencia entre aquellos medios informáticos que constituyen documentos (información de

carácter “virtual”, soportada dentro de un medio físico como un disco duro o servidor, que

1 Azaola Calderón, Luis. (2010). Delitos Informáticos y Derecho Penal (pp. 21-22). México: Ubijús.

2 Riofrío Martínez Villalba, Juan Carlos. (2004). La Prueba Electrónica (pp. 34-37). Bogotá, Colombia: Temis.

7

tiene carácter documental), frente a la información de escritura que podría generarse, por

ejemplo, cuando existe error en el sistema informático, o bien frente al hardware, que es la

parte física del computador. Este tratadista deduce qué tipo de evidencia informática puede

constituir prueba o elemento de convicción dentro de juicio: “Los documentos informáticos

que cumplen la función del docere3, son verdaderos documentos. Al ser documentos son

naturalmente aptos para arrojarle algún grado de evidencia al juzgador, y por consiguiente,

finalmente pueden llegar a constituirse como medio de prueba dentro del proceso”. (Riofrío,

2004, p.34).

En la realidad jurídica ecuatoriana, el modo en que se prueba un delito informático cometido

en contra de clientes de una institución del sistema financiero, es, normalmente, a través de

una pericia informática o electrónica de extracción de los datos de las transacciones

calificadas como ilícitas o no autorizadas; de igual manera, en el caso de alteraciones y

manipulación de cajeros automáticos, se realiza la experticia electrónica que demuestra la

alteración de la máquina conocida como Automatic Teller Machine (en adelante ATM o

cajero automático), de su teclado, dispensador y dispositivo electrónico de lectura de

tarjetas, pudiendo llegarse a detectar la instalación de diversos dispositivos de filmado y

copiado de claves electrónicas, o de extracción o alteración de los datos que descansan en

los discos duros de estas máquinas.

El mismo Juan Carlos Riofrío, citando a Feldman y Kohn4, explica que es necesario adoptar

las siguientes medidas para recolectar y conservar la información electrónica:

a) Informar cuanto antes a quienes tengan el control de las computadoras que contienen

evidencia informática de ella, para que procuren no borrarla; b) Realizar con alguna frecuencia backups (copias de los programas) en soportes duros,

como cintas magnéticas, discos compactos u ópticos de una sola grabación, etc.; c) Recolectar los datos en una inspección informática, y de ser posible, agendas electrónicas

y correos electrónicos que suelen contener copias de información borrada;

3 Juan Carlos Riofrío se refiere con docere, a los elementos intelectuales de un documento que expresan la

intencionalidad y la expresividad de su autor. Los otros elementos, según la clasificación del tratadista

Núñez Lagos a quien cita este autor, son los pertenecientes al corpus y corresponden al soporte

material y a la grafía.

4 Joan E. Feldman y Rodger I. Kohn, citados por Juan Carlos Riofrío, Ibíd., p. 150.

8

d) Preguntar a todos los testigos sobre el uso que le daban a las computadoras las personas que las tenían bajo su control;

e) Sacar imágenes lógicas del disco duro con relativa frecuencia, para poder reconstruir más

fácilmente la información borrada; f) Preservar y custodiar los equipos electrónicos, de tal manera que la información no pueda

ser alterada; y, g) Contratar a un experto para que descubra la mayor cantidad de evidencia posible.

En cuanto se refiere a las transacciones de clientes de las instituciones del sistema

financiero ecuatoriano, la conservación de los logs o registros históricos de estas

operaciones, es fundamental al momento de determinar técnicamente, si el origen y destino

de las transacciones bancarias tuvo un proceder fraudulento. Las direcciones IP (Internet

Protocol) que se lleguen a detectar en el análisis técnico informático, son indispensables

para conocer si el delito fue perpetrado a nivel nacional o en el exterior; sin perjuicio de

señalar que el primer presunto sospechoso de la infracción es aquel sujeto beneficiario de

los dineros transferidos vía Internet, desde la cuenta de un cliente bancario, sin su

conocimiento, consentimiento, ni acción alguna de su parte.

2.- Clasificación de los delitos informáticos

El Décimo Congreso de las Naciones Unidas sobre Prevención del Delito y Tratamiento del

Delincuente, llevado a cabo en Viena, del 10 al 17 de abril del 2014, estableció la existencia

de dos subcategorías de delitos cibernéticos:

a) Delito cibernético en sentido estricto (“delito informático”): Todo

comportamiento ilícito que se valga de operaciones electrónicas para atentar contra

la seguridad de los sistemas informáticos y los datos procesados por ellos; y,

b) Delito cibernético en sentido lato (“delito relacionado con computadoras”):

Todo comportamiento ilícito realizado por medio de un sistema o una red

informáticos, o en relación con ellos; incluidos los delitos como la posesión, el

ofrecimiento o la distribución ilegales de información por medio de un sistema o una

red informáticos.

9

Analizando la clasificación establecida por la ONU y siguiendo al jurista Diego Salamea

Carpio5, tenemos como resultado la siguiente clasificación de tipos de delitos informáticos:

a) Fraudes cometidos mediante manipulación de computadoras

Manipulación de los datos de entrada: Este tipo de fraude informático conocido

también como sustracción de datos, representa el delito informático más común ya

que es más fácil de cometer y difícil de descubrir. Este delito no requiere de

conocimientos técnicos concretos de informática y puede realizarlo cualquier persona

que tenga acceso a las funciones normales de procesamiento de datos en la fase de

adquisición de los mismos.

Manipulación de programas: Es muy difícil de descubrir y a menudo pasa

inadvertida debido a que el delincuente debe tener conocimientos técnicos concretos

de informática. Este delito consiste en modificar los programas existentes en el

sistema de computadoras o en insertar nuevos programas o nuevas rutinas. Un

método común utilizado por las personas que tienen conocimientos especializados

en programación informática es el denominado “caballo de Troya”, que consiste en

insertar instrucciones de computadora de forma encubierta en un programa

informático para que pueda realizar una función no autorizada al mismo tiempo que

su función normal. Un virus troyano ingresa en el sistema informático de un

computador de forma aparentemente inofensiva (por ejemplo a través de un archivo

adjunto en un mensaje recibido mediante correo electrónico) y una vez en el sistema

del destinatario se activa y se convierte en una herramienta que, desde adentro, abre

todas las puertas para que el atacante pueda tomar control total del sistema.

Manipulación de los datos de salida: Se efectúa fijando dispositivos extraños al

funcionamiento de un sistema informático. El ejemplo más común es el fraude

de que se hace objeto a los cajeros automáticos mediante la falsificación de

instrucciones para la computadora en la fase de adquisición de datos.

Tradicionalmente estos fraudes se realizan a tarjetas bancarias robadas; sin

embargo, actualmente se usan ampliamente equipos y programas de computadora

5 Salamea Carpio, Diego. (2013). El Delito Informático y la Prueba Pericial Informática (pp. 82-90). Quito: Editorial

Jurídica del Ecuador.

10

especializados para codificar información electrónica falsificada en las bandas

magnéticas de las tarjetas de débito y de las tarjetas de crédito.

Fraude efectuado por manipulación informática: Aprovecha las repeticiones

automáticas de los procesos de cómputo. Es una técnica especializada mediante la

cual se debitan cantidades muy pequeñas de dinero de una cuenta, transfiriéndose a

otra. Este tipo de fraude se conoce en la legislación alemana como como “estafa

informática”, diferenciándose del tipo penal básico de la estafa, por la utilización de la

tecnología informática que produce el perjuicio económico a través de la sustitución

falsa de la conducta del titular del derecho; sin embargo, al igual que el tipo básico

de la estafa, requiere para su consumación de la producción del daño patrimonial,

cualquiera sea la modalidad que asuma la interferencia con los códigos,

instrucciones y programas.

Diego Salamea Carpio6, citando a los tratadistas Gabaldón y Becerra, dice: “A diferencia de

la delincuencia convencional, donde la aproximación física y la fragmentación temporal son

fundamentales, mediante estas tecnologías se genera un entorno de ejecución sin

desplazamiento físico del delincuente y mediante condensación temporal e, inclusive,

simultáneamente”.

b) Falsificaciones informáticas

Como objeto: Cuando se alteran datos de los documentos almacenados en forma

computarizada.

Como instrumentos: Los computadores pueden utilizarse también para efectuar

falsificaciones de documentos de uso comercial. Cuando empezó a disponerse de

fotocopiadoras computarizadas en color a base de rayos láser surgió una nueva

generación de falsificaciones o alteraciones fraudulentas. Estas fotocopiadoras

pueden hacer copias de alta resolución, modificar documentos e incluso pueden

crear documentos falsos sin tener que recurrir a un original, y los documentos que

producen, son de tal calidad que solo un experto puede diferenciarlos de los

documentos auténticos.

6 Salamea Carpio, Diego, Ibíd., p. 84.

11

c) Daños o modificaciones de programas o datos computarizados

Sabotaje informático: es el acto de borrar, suprimir o modificar sin autorización,

funciones o datos de computadora con intención de obstaculizar el funcionamiento

normal del sistema. Las técnicas que permiten cometer sabotajes informáticos son:

1) Virus: Son una serie de programas en clave, codificados, que pueden

adherirse a programas legítimos y propagarse de esta manera en la

memoria y otros sistemas informáticos. Un virus puede ingresar en un sistema

por conducto de una pieza legítima de soporte lógico que ha quedado

infectada, así como utilizando el método del Caballo de Troya. También se

trata de programas con la capacidad de transmitirse entre computadores y

redes, generalmente sin conocimiento de los usuarios. Los virus pueden tener

indeseables efectos secundarios, desde el molestar con absurdos mensajes,

hasta llegar a borrar todo el contenido del disco duro del computador o

alterar completamente las funciones de la memoria en la cual se cargan los

programas.

2) Gusanos: Son programas fabricados en forma similar a los virus que pueden

introducirse en programas legítimos con la finalidad de infectar sistemas de

datos para destruirlos, pero con la diferencia que no pueden regenerarse

como los virus.

3) Bombas lógicas: Son programas destructivos de los sistemas de datos que

se programan para “explotar” o ejecutarse en un período de tiempo futuro

para causar el mayor daño posible. La programación futura de este tipo de

programas dificulta mucho la posibilidad de ubicar a la persona o personas

que infectan los sistemas con esta clase de mecanismos.

4) Acceso no autorizados a sistemas o servicios: El quebrantamiento de las

seguridades informáticas, particularmente los contenidos de páginas Web de

empresas, entidades públicas, bienes y servicios que se prestan al público, a

fin de inutilizarlas o modificarlas para perjudicar o engañar al público en

general o para sacar provecho personal, es lo que se conoce como hakeo, el

mismo que puede variar desde la simple conducta de curiosidad o desafío

12

intelectual para una persona conocedora del tema informático, hasta el

auténtico sabotaje o espionaje informático.

5) Piratas informáticos: El acceso informático se efectúa desde lugares

remotos de las redes informáticas. Los piratas informáticos se hacen pasar

por usuarios legítimos del sistema. Esto suele suceder con frecuencia en los

sistemas en los que los usuarios pueden emplear contraseñas comunes o

contraseñas de mantenimiento que están en el propio sistema. Con estos

mecanismos los ciber delincuentes pueden acceder a la información que se

guarda como segura, como por ejemplo, la información bancaria o de datos

confidenciales de las personas.

6) Reproducción no autorizada de programas informáticos protegidos

legalmente y con derechos de autor o patente: Este tipo de acciones

suelen perjudicar económicamente a la persona natural o jurídica que ha

generado el programa informático, y no obstante de tratarse de infracciones

penadas por la Ley, en el Ecuador por ejemplo, es muy común verificar la

presencia de numerosos puestos de venta de toda clase de programas

informáticos reproducidos sin autorización. Esta reproducción no se limita

solamente a programas de software, sino también de toda clase información

introducida en un medio digital y que pueda ser comercializada en el

mercado.

En cuanto a la Unión Europea se refiere, existe como acuerdo marco, el Convenio sobre

Ciberdelincuencia suscrito en Budapest, el 23 de noviembre del 2001, cuyo objetivo es la

cooperación internacional entre los Estados miembros, para prevenir los actos que pongan

en peligro la confidencialidad, la integridad y la disponibilidad de los sistemas, redes y datos

informáticos, así como el abuso de dichos sistemas, redes y datos, garantizando la

tipificación como delito de dichos actos, tal como se definen en el citado convenio, el cual

incluye la asunción de poderes suficientes para luchar contra dichos delitos, facilitando su

detección, investigación y sanción, tanto a nivel nacional como internacional, estableciendo

disposiciones materiales que permitan una cooperación internacional rápida y fiable. Este

convenio clasifica a los delitos de la siguiente manera:

1) Delitos contra la confidencialidad, la integridad y la disponibilidad de

los datos y sistemas informáticos: Comprende el acceso ilícito, la intercepción ilícita, los

13

ataques a la integridad de los datos, ataques a la integridad del sistema informatico y abuso

de los dispositivos.

2) Delitos informáticos: Forman parte de este título, la falsificación informática y

el fraude informático. Para el efecto del desarrollo de esta tesina, nos interesa conocer cómo

este convenio define cada uno de estos delitos.

A la falsificación informática, el convenio la define como como la introducción, alteración,

borrado o supresión ilegítimos de datos informáticos que genere datos no auténticos con la

intención de que sean tomados o utilizados, a efectos legales como si fuesen auténticos,

con independencia de que los datos sean legibles e inteligibles directamente.

El fraude informático se define en este convenio como el conjunto de actos deliberados e

ilegítimos que causen perjuicio patrimonial a una persona mediante:

a) La introducción, alteración, borrado o supresión de datos informáticos; y,

b) Cualquier interferencia en el funcionamiento de un sistema informático.

Ambos presupuestos anteriores deben tener la finalidad de obtener de forma ilegítima, un

beneficio económico para el infractor o para una tercera persona.

3) Delitos relacionados con el contenido: En este punto tenemos a los delitos

relacionados con la pornografía infantil. Se busca el compromiso de los países suscribientes

para sancionar la producción de pornografía infantil a efectos de difundirla por medio de un

sistema informático; también se busca sancionar la oferta o puesta a disposición de la

pornografía infantil a través de un sistema informático, la difusión o trasmisión de

pornografía infantil, la adquisición de pornografía infantil por medios informáticos para sí o

para terceros, y finalmente, la posesión de pornografía infantil en un sistema informático o

en un dispositivo de almacenamiento de datos informáticos.

4) Delitos relacionados con infracciones a la propiedad intelectual y de los

derechos afines: En este título del convenio, los suscribientes adoptan el compromiso de

establecer tipificación y medidas de sanción para las infracciones cometidas en contra de las

obras literarias y artísticas protegidas por el Convenio de Berna y por los acuerdos de

14

propiedad intelectual de la OMPI sobre derechos de autor, cuando estas infracciones

hubiesen sido cometidas por medio de un sistema informático y a escala comercial.

También se busca el compromiso de las partes para tipificar y sancionar los delitos

cometidos por sistemas informáticos y a escala comercial, que afecten los derechos de

propiedad intelectual sobre interpretación o ejecución de fonogramas y radiodifusión,

protegidos por la Convención Internacional de Roma sobre la Protección de los Artistas

Intérpretes o Ejecutantes, los Productores de Fonogramas y los Organismos de

Radiodifusión, y el Tratado de la OMPI sobre Interpretación y Ejecución de Fonogramas.

Este convenio busca lograr también que los Estados partes tomen las medidas de

conservación necesarias para almacenar de una manera rápida y eficiente, las evidencias

de los delitos cometidos por medio o en contra de los sistemas informáticos, a efectos de

lograr un procesamiento y detección eficaz de los datos obtenidos en tiempo real (tráfico de

la red) y así poder identificar con claridad y a la brevedad posible a los responsables del

ciberdelito. El convenio establece también el marco de cooperación o asistencia mutua entre

los países suscribientes o adherentes para el acceso transfronterizo a datos almacenados

públicamente, y para la asistencia mutua en relación con la intercepción de datos relativos al

contenido.

En el Ecuador, los principales siniestros o eventos que por vía informática o

telemática, afectan a los clientes de las instituciones del sistema financiero privado,

tanto personas naturales como empresas, son los siguientes:

1.- Pishing (pesca fraudulenta de datos); o, password harvesting fishing (cosecha y

pesca de contraseñas).

2.- Pharming (reenvío a otra dirección web desde un mensaje de correo o página).

3.- Transferencias no autorizadas de fondos (desde cuentas de personas naturales,

vía internet).

4.- Generación de órdenes de pago no autorizadas y transferencias de fondos por el

sistema Cash Management (sistema informático de transferencias y órdenes de pago

que los bancos utilizan para las transacciones de sus clientes empresariales).

15

En tanto que, los principales eventos que afectan a los clientes de las instituciones

financieras ecuatorianas a través de la manipulación y alteración de los productos,

servicios y canales electrónicos que estas instituciones ofrecen, son los siguientes:

1) Clonación de tarjetas de débito y crédito a través del skimming, que es un

método de copia de los datos y claves de las tarjetas de débito o crédito, utilizando micro

cámaras y/o teclados colocados en los cajeros automáticos.

2) Copia de las bandas magnéticas de seguridad de las tarjetas de débito o

crédito de los clientes, e inserción de estas bandas clonadas en moldes de tarjetas

robadas o adquiridas fraudulentamente, con la finalidad de realizar compras o consumos

con cargo o débito a la cuenta del cliente afectado.

3) Shutteros: Se trata de la manipulación de los cajeros automáticos para obtener

dinero, generando una condición de error en los discos duros y software de estos cajeros.

Los delincuentes introducen una lámina en la ranura de la salida de efectivo del ATM y

accionan un sensor, el cajero automático abre la tapa del dinero e interpreta una condición

de error, por lo que reversa la transacción; luego, el defraudador hala las bandas

transportadoras del efectivo y toma el dinero.

4) Manipulación de los canales de comunicación de los cajeros

automáticos, sustracción y desciframiento de claves encriptadas de seguridad de los

ATMS del Banco, a través de la conexión de discos duros portátiles, memorias flash,

teclados, mouses, smartphones (teléfonos celulares inteligentes), al disco duro de los

cajeros automáticos y desactivación de los sistemas antivirus. En razón del acceso, las

personas encargadas del mantenimiento del equipo electrónico bancario suelen constituirse,

sino en autores en algunos casos, en cómplices coadyuvantes de estos delitos.

5) Revelación del secreto bancario, esto es, proporcionar a terceros la

información de los clientes bancarios contenida en las bases de datos informáticas,

generalmente bajo promesa de pago de dinero o con amenazas. En este tipo de conductas

ilícitas participan los funcionarios del banco como cómplices o facilitadores del delito

informático. Cabe la posibilidad de que estos empleados bancarios permitan la utilización de

sus terminales informáticas y de sus usuarios y claves informáticas para la perpetración del

delito, siendo cómplices de los ciber delincuentes.

16

3. Problemas especiales en la persecución de los delitos informáticos

La complejidad de la delincuencia informática dificulta de gran manera, la aplicación del

Principio de Territorialidad de la Ley, por cuanto muchos de estos ilícitos son de origen o

carácter transnacional. En Europa, como ya mencioné anteriormente, existe el Convenio

sobre Cibercriminalidad suscrito en el año 2001, el cual ha buscado que los estados partes

adopten la idea de la “jurisdicción universal” para la persecución de los delitos informáticos,

ampliando los conceptos de acción y de resultado, propugnado también la aplicación de la

llamada teoría de la ubicuidad.

La profesora Ana Pérez Machío7 explica con claridad los conceptos relativos al principio de

jurisdicción universal y al principio de ubicuidad:

a) Principio de jurisdicción universal.- Llamado también de justicia universal, conlleva la ampliación del sistema de excepciones a la territorialidad de la ley penal, aplicada a ciertos delitos cuyo bien jurídico protegido obliga a esta persecución forzada fuera del ámbito del territorio nacional para que los responsables del ciberdelito no queden en la impunidad. Partiendo de la llamada “teoría de la acción”, habría que considerar que el lugar de origen del delito informático es aquel en que se encuentra ubicado el servidor informático desde el cual el responsable del ciberdelito lanza el ataque a través de las redes informáticas, o bien, es el espacio físico o virtual en el que almacena datos o información obtenida ilícitamente. En cambio, partiendo de la denominada “teoría del resultado”, se considera que cualquier estado puede invocar su jurisdicción para perseguir el delito informático originado en otro estado, si se establece la existencia de elementos de convicción del resultado del ciberdelito, en su territorio.

b) Principio de ubicuidad.- Respecto de esta tesis que goza de mayor aceptación doctrinaria

en la actualidad, debemos decir que para la misma no es relevante el lugar de origen o del resultado del delito informático. Existe ubicuidad cuando la jurisdicción de un estado actúa tanto en el caso de que la acción delictiva se lleve a cabo en su territorio y el resultado se produjo fuera de él, tanto como si el ilícito se originó fuera de su territorio y tuvo su resultado dentro de su territorio. El delito se entenderá cometido en cualquiera de los lugares en que se despliega la actividad del autor del hecho o donde se manifiesta el resultado típico, que de formar parte del territorio nacional permitirán la competencia de éste. Solo la atención al lugar en que se despliega la acción y al lugar en que se ejecuta el resultado puede aportar los elementos necesarios para el correcto enjuiciamiento del hecho (énfasis añadido).

7 Pérez Machío, Ana. (2012). Delincuencia Informática. Tiempos de Cautela y Amparo (pp. 273-277). Madrid:

Arazandi.

CAPÍTULO II

DELITOS INFORMÁTICOS Y ELECTRÓNICOS QUE AFECTAN A LAS INSTITUCIONES

DEL SISTEMA FINANCIERO, ESTABLECIDAS EN EL NUEVO CÓDIGO ORGÁNICO

INTEGRAL PENAL

18

1.- El nuevo Código Orgánico Integral Penal y la doctrina final de la acción

Desde el 10 de agosto del 2014 entró en vigencia el Código Orgánico Integral Penal (en

adelante COIP) que contiene en la parte sustantiva, la descripción de todos los tipos penales

en un solo cuerpo normativo, así como la aplicación de algunos presupuestos de la doctrina

mal llamada Finalismo, teoría final de la acción o búsqueda del resultado como

manifestación objetiva de la realización del tipo penal.

Conforme lo expresa Ramiro García Falconí, destacamos las siguientes novedades en el

COIP:

La dogmática derivada de una teoría subjetiva de la norma penal se impone y las consecuencias que ésta deriva, como es el caso de la ubicación del dolo en sede tipicidad, que se mantiene. No así algunos de los conceptos específicos, como la definición de culpabilidad como juicio de reproche; la propuesta de sustituir culpabilidad por responsabilidad; o la inclusión del principio de necesidad de pena, cómo parte de ésta. En lo referente a la culpabilidad se considera que como fundamento de la retribución es insuficiente y debe ser abandonado, pero el concepto de culpabilidad como concepto limitador de la pena debe seguir manteniéndose.

1

El Código Orgánico Integral Penal preceptúa que solamente las conductas penalmente

relevantes son punibles de acuerdo a las disposiciones sancionatorias de este cuerpo

normativo.

El artículo 22 del COIP dispone lo siguiente: “Conductas penalmente relevantes.- Son

penalmente relevantes las acciones u omisiones que ponen en peligro o producen

resultados lesivos, descriptibles y demostrables”.

Lo destacado de la teoría finalista es que liga el concepto de acción a la voluntad del autor,

lo cual tiene como efecto el considerar como penalmente relevante aquello que es atribuible

al autor y, entre otras consecuencias, el traslado del dolo y la culpa a la tipicidad.

1 García Falconí, Ramiro. (2014). Código Orgánico Integral Penal Comentado. Tomo I (pp. 246-248). Lima, Perú:

Ada Editores.

19

2.- Los delitos patrimoniales e informáticos en el nuevo Código Orgánico Integral

Penal con relación al ámbito bancario.

Los delitos que afectan a los clientes y productos de las instituciones del sistema financiero

privado, están tipificados en dos secciones del nuevo Código Orgánico Integral Penal: En el

Capítulo II, Delitos contra los Derechos de Libertad, Sección Novena, Delitos contra el

Derecho a la Propiedad; así como en el Capítulo III, Delitos contra los Derechos del Buen

Vivir, Sección Tercera, Delitos contra la Seguridad de los Activos de los Sistemas de la

Información y Comunicación. Para efectos de mi estudio, los he dividido en: 1) delitos

patrimoniales que se cometen por medios informáticos; y, 2) delitos informáticos y

electrónicos que afectan a los clientes, actividades y productos de las instituciones del

sistema financiero.

2.1. Delitos patrimoniales que se cometen por medios informáticos:

Art. 186 del COIP.- ESTAFA (Por medios electrónicos): La pena máxima se

aplicará a la persona que:

1.- Defraude mediante el uso de tarjeta de crédito, débito, pago o similares, cuando ella sea

alterada, clonada, duplicada, hurtada, robada u obtenida sin legítimo consentimiento de su

propietario.

2.- Defraude mediante el uso de dispositivos electrónicos que alteren, modifiquen, clonen o

dupliquen los dispositivos originales de un cajero automático para capturar, almacenar,

copiar o reproducir información de tarjetas de crédito, débito, pago o similares.

La estafa cometida a través de una Institución del Sistema Financiero Nacional o de la

economía popular y solidaria que realicen intermediación financiera mediante el empleo de

fondos públicos o de la Seguridad Social, será sancionada con pena privativa de la libertad

de siete a diez años.

COMENTARIO: Doctrinalmente, la estafa informática está considerada como un delito

que contiene los mismos elementos que la estafa ordinaria, siendo el elemento central la

conducta relativa al engaño, a la acción fraudulenta; el engaño es el desvalor de acción de

la estafa.

20

La estafa informática se trata de una adaptación legislativa para incorporar las modalidades

a través de las cuales se comete este delito, pero siempre dentro de la dogmática y criterios

interpretativos propios de la estafa. Algunos doctrinarios sostienen en cambio que el

elemento de engaño o error difiere de la estafa tradicional y que por lo tanto, la estafa

informática conlleva una nueva figura penal.

El elemento relevante que caracteriza a esta modalidad de estafa es la manipulación

informática que debe conducir como objetivo al engaño de la víctima. La apropiación de

valores lograda a través de la manipulación informática finalmente va a provocar el perjuicio

patrimonial para el tercero, como el elemento requerido en todos los supuestos de estafa. El

autor de la estafa siempre está guiado por el ánimo de lucro que es el elemento subjetivo

que completa los elementos objetivos del hecho punible.

Art. 190 del COIP.- APROPIACIÓN FRAUDULENTA POR MEDIOS ELECTRÓNICOS:

La persona que utilice fraudulentamente un sistema informático o redes electrónicas y de

telecomunicaciones para facilitar la apropiación de un bien ajeno o que procure la

transferencia no consentida de bienes, valores o derechos en perjuicio de esta o de una

tercera, en beneficio suyo o de otra persona alterando, manipulando o modificando el

funcionamiento de redes electrónicas, programas, sistemas informáticos, telemáticos y

equipos terminales de telecomunicaciones, será sancionada con pena privativa de libertad

de uno a tres años.

La misma sanción se impondrá si la infracción se comete con inutilización de sistemas de

alarma o guarda, descubrimiento o descifrado de claves secretas o encriptadas, utilización

de tarjetas magnéticas o perforadas, utilización de controles o instrumentos de apertura a

distancia, o violación de seguridades electrónicas, informáticas u otras semejantes.

COMENTARIO: En el ámbito bancario, las víctimas de este delito son las personas

naturales y jurídicas que realizan transacciones vía Internet o mediante sistemas

informáticos que utilizan redes de tráfico de datos proporcionados por la institución

financiera. La forma común en que se desenvuelve el delito se inicia cuando el

ciberdelincuente genera el ataque informático desde una terminal o servidor ubicado

generalmente en otro país distinto a aquel en que se produce el resultado del delito.

Previamente, el atacante informático ha obtenido fraudulentamente el modo de vulnerar las

claves y el acceso a la cuenta de la víctima (en muchos casos a través del pishing o

21

pharming) y logra de esta manera transferir los fondos que existen en dicha cuenta bancaria,

a la cuenta de otra persona que también consta como cliente de dicho banco, o bien a las

cuentas de usuarios de otras instituciones financieras.

En algunos casos, el beneficiario de la transferencia no autorizada desconoce que su cuenta

bancaria fue utilizada, este es el caso denominado “uso de cuentas puente”, en las cuales el

dinero transferido permanece por unas horas, mientras el ciberdelincuente elige el destino

final de los fondos obtenidos; este tipo de triangulación en el desarrollo del delito, dificulta su

persecución. El beneficiario final de los fondos suele realizar el retiro de los mismos, pero no

suelen ser personas que tienen el conocimiento para atacar las cuentas de los clientes

bancarios vía informática, son sus cómplices.

En el Código Penal anterior, vigente hasta el 9 de agosto del 2014, la apropiación ilícita por

medios informáticos, informáticos o telemáticos constituía un delito sancionado con pena

privativa de libertad desde seis meses hasta los cinco años de prisión. La nueva figura penal

contemplada en este artículo 190 del COIP, ha rebajado la pena a este tipo de delitos, hasta

los tres años de pena privativa de libertad, lo que sin duda tendrá un impacto negativo en la

relación banca-clientes, porque los ciber delincuentes se verán mayormente incentivados a

atacar las cuentas de las personas naturales clientes de los bancos, tomando en cuenta que

el primer responsable de este delito, en razón del resultado, resulta ser siempre el

beneficiario de la transferencia no autorizada desde la cuenta del afectado.

2.2. Delitos informáticos y electrónicos que afectan a los clientes, actividades y

productos de las instituciones del sistema financiero:

Art. 229 del COIP.- REVELACIÓN ILEGAL DE BASES DE DATOS: La persona que, en

provecho propio o de un tercero, revele información registrada, contenida en ficheros,

archivos, bases de datos o medios semejantes, a través o dirigidas a un sistema electrónico,

informático, telemático o de telecomunicaciones; materializando voluntaria e

intencionalmente la violación del secreto, la intimidad y la privacidad de las personas, será

sancionada con pena privativa de la libertad de uno a tres años.

Si esta conducta se comete por una o un servidor público, empleadas o empleados

bancarios internos o de instituciones de la economía popular y solidaria que realicen

22

intermediación financiera o contratistas, será sancionada con pena privativa de la libertad de

tres a cinco años.

COMENTARIO: En la Ley Orgánica de Instituciones del Sistema Financiero, artículo 94,

estuvo vigente hasta el 9 de agosto del 2014, el delito de “violación al sigilo bancario” con

pena de prisión de uno a cinco años. Esta figura penal sancionaba toda conducta de los

servidores bancarios consistente en proporcionar y divulgar información sujeta al sigilo y

reserva bancaria, esto es, la información de operaciones activas y pasivas de los clientes de

las instituciones del sistema financiero.

Podemos decir que en la actual codificación del COIP, el ámbito de protección de los datos

personales constantes en archivos físicos o informáticos, bases de datos, se ha extendido a

toda clase de actividades, siendo sancionada aquella persona que revele esta información.

Si la violación de estos datos personales los hace quien tiene la calidad de empleado

bancario, el delito constituye una agravante, sancionada con pena privativa de la libertad de

tres a cinco años.

La actuación dolosa o culposa del empleado bancario puede traer consecuencias civiles o

hasta penales a las instituciones del sistema financiero en las cuales trabaja este

funcionario.

El artículo 155 del recientemente entrado en vigencia Código Orgánico Monetario y

Financiero, establece lo siguiente: “Protección.- En los términos dispuestos por la

Constitución de la República, este Código y la ley, los usuarios financieros tienen derecho a

que su información personal sea protegida y se guarde confidencialidad”.

Los artículos 352 y 353 del mismo Código Orgánico Monetario y Financiero, consagran la

protección de la información, entendiéndose ésta como datos de carácter personal de los

usuarios del sistema financiero nacional, que reposan en las entidades de dicho sistema y

su acceso está protegido, pudiendo ser entregada esta información solamente a su titular o

a quien éste autorice.

El artículo 355 del mismo Código Orgánico Monetario y Financiero, expresa el mandato

general de que ninguna persona natural o jurídica que llegase a tener conocimiento de

información sometida a sigilo o reserva, podrá divulgarla ni en todo ni en parte. Establece

23

sanciones administrativas sin perjuicio de la responsabilidad penal que implica la divulgación

de esta información.

La formación ética de los empleados bancarios es un ítem de alta importancia dentro de las

medidas de seguridad que establecen las instituciones del sistema financiero para el

combate del cibercrimen, al igual que la desconcentración de funciones en varios

funcionarios o empleados, de manera que no se permita que un determinado funcionario

maneje muchos aspectos operacionales relacionados con el servicio al cliente a través de

medios informáticos. Es claro que la mayor vulnerabilidad que puede tener una institución

del sistema financiero privado, no son sus sistemas o redes de información, sino la

posibilidad de que sus empleados sean corrompidos y se vuelvan parte del ciberdelito a

cambio de una recompensa económica mal habida. Por supuesto, los ciberdelincuentes a

toda costa tratan de establecer contacto con funcionarios bancarios o de las empresas que

prestan servicios auxiliares operativos a las instituciones del sistema financiero, a fin que su

labor delictiva se vea facilitada. Es mucho más fácil que un delincuente informático pueda

vulnerar la red y canales de transmisión de datos a través de una computadora de un

funcionario bancario, que a través de lo que usualmente significa hacerlo desde una terminal

computacional externa.

Art. 230 del COIP.- INTERCEPTACIÓN ILEGAL DE BASES DE DATOS.- Será

sancionado con pena privativa de la libertad de tres a cinco años:

1.- La persona que sin orden judicial previa, en provecho propio o de un tercero,

intercepte, escuche, desvíe, grabe u observe, en cualquier forma un dato informático en

su origen, destino, destino o en el interior de un sistema informático, una señal o una

trasmisión de datos o señales con la finalidad de obtener información registrada o

disponible.

2.- La persona que diseñe, desarrolle, venda, ejecute, programe o envíe mensajes,

certificados de seguridad o páginas electrónicas, enlaces o ventanas emergentes o

modifique el sistema de resolución de nombres de dominio de un servicio financiero o

pago electrónico u otro sitio personal o de confianza, de tal manera que induzca a una

persona a ingresar a una dirección o sitio de internet diferente a la quiere acceder.

24

3.- La persona que a través de cualquier medio copie, clone o comercialice información

contenida en las bandas magnéticas, chips u otro dispositivo electrónico que esté

soportada en las tarjetas de crédito, débito, pago o similares.

4.- La persona que produzca, fabrique, distribuya, posea o facilite materiales,

dispositivos electrónicos o sistemas informáticos destinados a la comisión del delito

descrito en el inciso anterior.

COMENTARIO: Algunas conductas anteriormente tipificadas como parte de la figura

penal de apropiación ilícita (artículos 553.1 y 553.2 del Código Penal vigente hasta el 9 de

agosto del 2014) están incorporadas y desarrolladas en este artículo del COIP; de igual

manera, algunos elementos del delito que anteriormente se conocía como “falsificación

electrónica” (artículo 353.1 del Código Penal vigente hasta el 9 de agosto del 2013) han sido

incorporados en el numeral 3 de este artículo, pero en un amplio espectro que incluye al

skimming (robo de la información de tarjetas de crédito o débito para un uso fraudulento

posterior) y a la utilización o comercialización de las tarjetas clonadas electrónicamente. Se

sanciona también a la persona que fabrique, produzca y distribuya estos dispositivos

electrónicos de clonación, con lo cual se verifica que este delito apunta a sancionar toda

acción que conlleve la utilización de medios electrónicos para perpetrar fraudes, pero lo que

se castiga es al delito informático en sí mismo. La relación de estos delitos informáticos y

electrónicos con el ámbito bancario es evidente, ya que estos son los tipos penales que

engloban o abarcan las conductas que atacan y lesionan a los clientes bancarios y a los

productos e imagen pública de la propia institución financiera.

Art. 231 del COIP.- TRANSFERENCIA ELECTRÓNICA DE ACTIVO PATRIMONIAL.-

La persona que con ánimo de lucro, altere, manipule o modifique el funcionamiento de

programa o sistema informático o telemático o mensaje de datos, para procurarse la

transferencia o apropiación no consentida de un activo patrimonial de otra persona en

perjuicio de esta o de un tercero, será sancionada con pena privativa de libertad de tres a

cinco años.

Con igual pena, será sancionada la persona que facilite o proporcione datos de su cuenta

bancaria con la intención de obtener, recibir o captar de forma ilegítima un activo patrimonial

a través de una transferencia electrónica producto de este delito para sí mismo o para otra

persona.

25

COMENTARIO: Como elementos objetivos de este tipo penal, muy similar en su

contenido al artículo 553.1 del Código Penal ecuatoriano que estuvo vigente hasta el 9 de

agosto del 2014, tenemos los siguientes:

1.- Obtener la transferencia no consentida de bienes, valores o derechos.-

Con este elemento se elimina el problema de la disposición personal de la cosa

perteneciente a otro, exigida por el tipo general de estafa (artículo 186 del COIP). Esto en

cuanto a que en dicho tipo penal se exige por parte del sujeto pasivo, la entrega de una cosa

ajena mediante el engaño y el abuso de confianza, situación que no ocurre en el fraude

informático.

2.- Perjuicio de un tercero.- Disminución del patrimonio de la entidad financiera

o comercial o de sus clientes. Este perjuicio se produce en el momento que es modificada la

anotación en cuenta, a consecuencia de lo cual se produce la detracción del dinero contable

o escritural respecto de su legítimo titular y, al mismo tiempo, ha quedado fuera de su

ámbito de disposición mediante la transferencia al registro designado por el autor.

3.- Manipulación informática fraudulenta.- En este punto hay que tener en

cuenta las diferentes formas y técnicas que se utilizan en el fraude informático; de otro

lado, la manipulación informática fraudulenta descrita en el tipo con los verbos alterar,

manipular y modificar, se une al concepto de apropiación de un bien patrimonial ajeno en

sentido amplio.

4.- Dolo y medio fraudulento.- En la apropiación ilícita debe existir la utilización

de un medio fraudulento para el cometimiento de la infracción, cual es la manipulación

informática fraudulenta; y la intención del agente debe dirigirse en primer lugar a causar un

perjuicio económico a la víctima y, en segundo lugar, revelar el ánimo de lucro con el cual el

delincuente informático actúa.

5.- Relación de causalidad.- Se exige que exista una cadena causal entre los

elementos antes señalados; esto es, que la manipulación informática fraudulenta preceda al

perjuicio patrimonial y que estén vinculados por una relación de causalidad adecuada. Es

importante señalar que el orden de concurrencia de estos elementos no puede ser alterado,

por existir entre los distintos elementos una relación lógica y necesaria.

26

Art. 232 del COIP.- ATAQUE A LA INTEGRIDAD DE SISTEMAS INFORMÁTICOS.- La

persona que destruya, dañe, borre, deteriore, altere, suspenda, trabe, cause mal

funcionamiento, comportamiento no deseado o suprima datos informáticos, mensajes de

correo electrónico, de sistemas de tratamiento de información, telemático o de

telecomunicaciones a todo o parte de sus componentes lógicos que lo rigen, será

sancionada con pena privativa de libertad de tres a cinco años.

Con igual pena será la sancionada la persona que:

1.- Diseñe, desarrolle, programe, adquiera, envíe, introduzca, ejecute, venda o distribuya

de cualquier manera, dispositivos o programas informáticos maliciosos o programas

destinados a causar los efectos señalados en el primer inciso de este artículo.

2.- Destruya o altere sin la autorización de su titular, la infraestructura tecnológica

necesaria para la transmisión, recepción o procesamiento de información en general.

Si la infracción se comete sobre bienes informáticos destinados a la prestación de un

servicio público o vinculado con la seguridad ciudadana, la pena será de cinco a siete años

de privación de libertad.

COMENTARIO: Desarrollando los conceptos expuestos por Fernando Tomeo2, se

establece que el intrusismo informático no autorizado o acceso ilegítimo a los sistemas de

información se conoce como hacking; y a quienes alteran los sistemas informáticos

introduciéndose ilegítimamente en ellos con fines de lucro u otras finalidades, se los

denomina hackers o crackers.

La palabra hacker proviene de los reparadores de cajas telefónicas (E.E.U.U. en la década

del 50), cuya principal herramienta de reparación era un golpe seco al artefacto con fallas

(un “hack”), de ahí que se los llamó “hackers”. Puede definirse como un experto

informático que utiliza técnicas de penetración no programadas, autorizadas o

convencionales, para acceder a un sistema informático con los más diversos fines, sean

estos el satisfacer su curiosidad, superar los controles públicos o privados, probar la

vulnerabilidad del sistema para mejorar su seguridad, sustraer, modificar, dañar o eliminar

2 Tomeo, Fernando. (2014). Redes Sociales y tecnologías 2.0, 2da. Ed. (pp. 209-210). Buenos Aires, Argentina:

Astrea.

27

información; y cuyas motivaciones también responden a los más variados intereses: ánimo

de lucro, posturas ideológicas anarquistas, avidez de conocimientos, orgullo, propaganda

política, etc.

Con el tiempo y frente a las actitudes dañosas de algunos de estos individuos, la misma

cultura hacker gestó el término “crackers” para aludir a estos sujetos, diferenciándose de los

mismos por tener fines supuestamente más altruistas. Posteriormente, la doctrina receptó tal

diferenciación entre intrusismo informático ilegítimo (hacking) y sabotaje informático

(cracking), basándose en el elemento subjetivo que delimita la frontera de cada

comportamiento; mientras en el último supuesto, la intencionalidad del agente es

obstaculizar, dejar inoperante o dañar el funcionamiento de un sistema informático, en el

primer caso la acción realizada busca únicamente el ingreso a tales sistemas sin dirigir sus

actos a la afectación de la integridad o disponibilidad de la información, pero sí, a la

confidencialidad y exclusividad de la misma y también, en algunos casos, a vulnerar la

intimidad del titular de aquélla.

No obstante, existen hackers que manifiestan su accionar como una forma o filosofía de

vida, de experimentar y crear, con espíritu aventurero, sin límites ni restricciones, pero cuya

finalidad no es la de dañar. La cultura hacker de estos grupos, sostiene que son el motor de

la infraestructura informacional, puesto que pregonan la absoluta libertad de la información y

desarrollan la ingeniería necesaria para el mejoramiento de los sistemas informáticos

(software libre y seguridad de redes).

Si bien toda intrusión informática no autorizada resulta ilegítima por suponer un acto de

penetrar o violentar las barreras de seguridad predispuestas por su titular para proteger

información privada o confidencial, para acceder al sistema da datos, o lo que es lo mismo,

el ingreso ilícito del ciberdelicuente contra la voluntad presunta del afectado, no es posible

incluir en este presupuesto a los técnicos informáticos que desarrollan seguridad de redes,

denominados “hackers éticos” quienes poseen autorización o consentimiento expreso del

titular del sistema para verificar la seguridad de un servidor, terminal computacional o redes

de comunicación.

Es lógico pensar, entonces, que en ambientes determinados (empresariales por ejemplo),

con controles y reglas básicas y bajo los pertinentes acuerdos contractuales, el intrusismo

informático constituya una actividad lícita, obviamente, exenta de sanción penal alguna, por

28

ausencia de antijuridicidad y de dolo, ya que la voluntad y conocimientos del técnico

especializado está orientada al descubrimiento de intrusiones o alteraciones del sistema

informático que analiza, a través del uso de programas o test autorizados.

La clasificación que realiza Fernando Tomeo considera los siguientes tipos de hackers3:

a) “Black hats”: Suelen practicar actividades ilícitas con fines lucrativos, rompiendo sistemas de seguridad de computadoras, realizar entradas remotas no autorizadas, colapsar servidores, entrar a zonas restringidas, infectar redes o apoderarse de ellas.

b) “White hats”: También llamados “hackers éticos”, son personas que trabajan para empresas de desarrollo de programas informático, protegiendo y reparando errores en los sistemas.

c) “Blue hats”: Trabajan en un entre oficial del Estado o en una empresa de seguridad que

intenta identificar los problemas potencialmente dañosos.

d) “Script-kiddies”: Son hackers que carecen de experiencia y ejercen formas básicas de hacking; por ejemplo, buscan y descargan programas y herramientas de intrusión informática, para luego ejecutarlos como simple usuario, sin preocuparse del funcionamiento interno de éstos ni de los sistemas sobre los que funcionan.

e) “Hacktivistas”: La motivación por la cual estas personas “hackean” se asocian a movimientos

ideológicos concretos, relacionados con alguna causa social, promoviendo cambios en los modos de vida, de la libertad del conocimiento y la justicia social.

f) “Hackers de élite”: Pertenecen a uno o varios colectivos virtuales oscuros y prestigiosos y se consideran los más expertos de todos.

3 Tomeo Fernando, Ibíd., pp. 210-211.

CAPÍTULO III

TEORÍA DEL CASO DE LOS DELITOS INFORMÁTICOS Y ELECTRÓNICOS QUE

AFECTAN A LAS INSTITUCIONES DEL SISTEMA FINANCIERO

30

1.- ¿Qué es la teoría del caso?

En el juicio oral rige el principio de la contradicción. El fiscal y el defensor exponen su

relación de los hechos en los alegatos de apertura, en los interrogatorios y en los alegatos

de cierre. Todo esto implica que las partes deben diseñar su teoría del caso, desarrollar un

conjunto de habilidades y destrezas, aportar pruebas, así como realizar interrogatorios

adecuados.

El profesor Luis Felipe Valdivieso Arias establece que: “Teoría del Caso es el planteamiento

técnico que desarrolla y argumenta cada una de las partes dentro de un procedimiento, sea

en defensa o en acusación. Es una metodología de análisis de los hechos relevantes, de las

pruebas, la participación de los imputados y de las circunstancias de la infracción”1.

La teoría del caso, para que sea útil, debe cumplir con las siguientes condiciones:

a) Debe ser lógica: Los hechos planteados deben coincidir y guardar armonía con

los planteamientos conceptuales y jurídicos de la exposición en causa. La concordancia

lógica debe ser sincrónica para cada una de las deducciones o inferencias que se van a

debatir, tanto en lo fáctico como en lo jurídico.

b) Debe ser creíble: El planteamiento que se expone como teoría del caso, debe

ser extremadamente creíble, confiable y bastante apegado a la realidad de los hechos para

lograr explicarse por sí mismo, como un acontecimiento humano real, acorde con el sentido

común y las reglas de la experiencia. También debe ser persuasivo, a tal punto que

convenza a los demás de lo que se considera como cierto y que evidentemente debe ser

sensato.

c) Legalmente suficiente: Todo razonamiento jurídico debe soportarse en el

Principio de Legalidad y, por tanto, debe llenar desde el punto de vista del acusador todos

los elementos de la conducta punible y de la culpabilidad. Desde el punto de vista del

abogado defensor, debe determinar la falta de algún elemento de la conducta o de la

responsabilidad, o el incumplimiento de antecedentes jurisprudenciales que fijan el alcance

1 Valdivieso Arias, Luis Felipe. (2012). Seminario: Litigación Oral en Materia Penal (p. 38). Loja, UTPL.

31

de la norma o la violación o inexistencia de los procedimientos que garantizan la

autenticidad de los medios de prueba (cadena de custodia).

d) Debe ser concreta pero flexible: Porque siempre se concibe un plan inicial de

cómo será un juicio, pero éste está sujeto a imprevistos que forman parte de un sistema

adversarial. La teoría del caso debe ser suficientemente flexible para adaptarse o

comprender los posibles desarrollos del proceso sin cambiar radicalmente, porque este tipo

de cambio acabaría con la credibilidad de cualquier sujeto procesal.

Una buena teoría del caso es aquella que contiene una hipótesis sencilla sobre los hechos y

una adecuación típica de los mismos, sin que se recaiga en sofisticados razonamientos

fácticos o dogmáticos; que es creíble y de formulación lógica, logrando explicar

congruentemente la mayor cantidad de hechos que sustenten la propia pretensión,

recogiendo inclusive aquellos puntos que forman parte de la teoría del caso de la

contraparte que pueden fortalecernos, temas que van dilucidándose en el transcurso del

juicio.

2.- Componentes o elementos de la teoría del caso

Concordando con el doctor Alfonso Zambrano Pasquel2, determinamos que los tres

elementos relevantes de la Teoría del Caso, son los siguientes:

2.1. Elemento fáctico: Es la identificación de los hechos relevantes o conducentes

para comprobar la responsabilidad o no responsabilidad del procesado, hechos que

deben ser reconstruidos durante el debate oral, a través de las pruebas. Los hechos

contienen las acciones con circunstancias de tiempo, los lugares o escenarios, los

personajes y sus sentimientos, el modo de ocurrencia, los instrumentos utilizados, y el

resultado de la acción o acciones realizadas.

El aspecto fáctico lo constituyen los hechos relevantes, afirmaciones o proposiciones

fácticas que queremos que acepte el juzgador para establecer lo jurídico. Lo fáctico sustenta

lo jurídico, siendo la identificación de los hechos conducentes para comprobar la

responsabilidad o no responsabilidad del procesado, hechos que deben ser reconstruidos

2 Zambrano Pasquel, Alfonso. (2013). Estudio Introductorio al Código Orgánico Integral Penal, referido al Libro

Segundo, Tomo III (pp. 135-145). Quito: Corporación de Estudios y Publicaciones.

32

durante el debate oral, a través de las pruebas. Los hechos contienen las acciones con

circunstancias de tiempo, los lugares o escenarios, los personajes y sus sentimientos, el

modo de ocurrencia, los instrumentos utilizados y el resultado de las acciones realizadas.

2.2. Elemento probatorio: Nos permite establecer cuáles son las pruebas pertinentes

para establecer la certeza de la ocurrencia de la conducta punible y de la responsabilidad

del acusado, como supuestos de una sentencia condenatoria para la Fiscalía. O bien la

ausencia o deficiencia de estos requisitos en el caso de la defensa, fallas procedimentales

esenciales o la ruptura de la cadena de custodia que hace perder la autenticidad de la

prueba. La teoría probatoria es el modo de comprobar ante el juez, los planteamientos

formulados.

Frente al conocimiento de los hechos relevantes, existe la determinación y la clasificación de

las pruebas que demuestran cada supuesto, permitiéndonos esto saber qué fortalezas y

debilidades tiene nuestra teoría del caso, para concluir si hay lugar a formular acusación

cuando se trata de la Fiscalía; o para saber qué tan comprometida está la responsabilidad

del procesado, cuando se trata del defensor. Lo probatorio consiste en examinar las pruebas

que queremos presentar para establecer lo fáctico. El elemento probatorio sustenta la teoría

fáctica y la jurídica.

En el campo probatorio se cuentan todos los elementos de prueba, para establecer la

materialidad del hecho; se desarrollan las pruebas testimoniales, documentales y materiales

y se establece su peso o valor dentro del proceso.

2.3. Elemento jurídico: Consiste en el encuadramiento jurídico de los hechos dentro de

las disposiciones legales, tanto sustantivas como procedimentales. Es el análisis de los

elementos de Derecho, de aquello que queremos establecer. Para el abogado defensor esto

significa examinar los elementos de la conducta punible, para determinar si hace falta

alguno de ellos. Puede acontecer que se formule una teoría del caso para cambiar el grado

de responsabilidad del procesado y así lograr la diminución de la pena, por ejemplo, cuando

se indica que el procesado actuó como cómplice o que existen causas de justificación en su

actuación.

33

3.- Desarrollo de la teoría del caso, en dos (2) ejemplos prácticos aplicados al sistema

bancario, de delitos cometidos a través de medios informáticos y electrónicos, desde

las perspectivas estratégicas de la Fiscalía y de la defensa del procesado.

N° 1: TEORÍA DEL CASO DE LA FISCALÍA3

a) TÍTULO: CASO COMPAÑÍA EXPERIMENTAL, TRANSFERENCIAS FRAUDULENTAS

ENTRE CUENTAS DEL MISMO BANCO, UTILIZANDO MEDIOS INFORMÁTICOS.

b) RELATO DE LOS HECHOS

En el mes de febrero del 2013, el señor Benito Coba Claudio fue reemplazado en el cargo

de Gerente General de la compañía Experimental, ubicada en la ciudad de Quito, conforme

se desprende del nombramiento del nuevo gerente de dicha compañía. Por errores de tipo

operativo, el Banco Equinoccio, institución financiera en la cual la compañía Experimental

mantiene una cuenta, no revocó los accesos (usuario y clave) del señor Benito Coba a la

plataforma Internet de empresas denominada CASH MANAGEMENT, a través de la cual, se

podía verificar los saldos contables de la cuenta de la empresa Experimental, con el perfil

Operador, así como se podía realizar transacciones con el perfil FULL, que en dicha

compañía fue asignado al Gerente General, que era el señor Benito Coba. El nuevo gerente

de la compañía Experimental, había solicitado por escrito, la revocación del usuario y claves

del ex gerente, en el mes de marzo del 2013.

En el mes de abril del 2013, el señor Benito Coba Claudio, desde una terminal

computacional, realiza tres transferencias de dinero desde la cuenta de la compañía

Experimental, con destino a su cuenta personal del Banco Equinoccio, por un valor total de

USD$ 21.000. Estas acciones generaron la presentación de un reclamo del actual gerente

de la empresa Experimental, al Banco Equinoccio, entidad del sistema financiero que

resolvió aceptar el reclamo y, mediante convenio suscrito con la compañía Experimental en

el mes de mayo del 2013, acreditó a la cuenta de Experimental, la suma de USD$ 21.000,

asumiendo el monto total del perjuicio de su cliente.

3 Este primer ejercicio práctico ha sido formulado en base a un caso real que se suscitó en la ciudad de Quito.

Los nombres de los sujetos intervinientes han sido cambiados para proteger su derecho constitucional a

la intimidad y a la privacidad.

34

En el mes de junio del 2013, Banco Equinoccial presenta denuncia ante la Fiscalía por el

delito de apropiación ilícita por medios informáticos y electrónicos, la misma que fue

tramitada en las fases de indagación previa e instrucción fiscal, por parte de la Fiscalía N° 4

de Patrimonio Ciudadano de Pichincha.

c) ALEGATO DE APERTURA

En esta audiencia vamos a demostrar que el señor Benito Claudio Coba, utilizando

dolosamente su usuario y clave de acceso al sistema CASH MANAGEMENT del Banco

Equinoccial (Banca Empresas) cuando ya no ostentaba la calidad de Gerente General de la

Compañía Experimental, procedió a realizar tres transferencias por el valor de USD$ 21.000,

perjudicando de esta manera a la mencionada compañía, dinero que tuvo como destino su

cuenta bancaria personal. Vamos a demostrar también que en el mes de abril del 2013, el

usuario y clave informáticos del señor Benito Claudio se encontraban activos con perfil full

de operaciones, y que por ende, el procesado tuvo los elementos necesarios y el dominio

del hecho, para cometer el delito de apropiación ilícita por medios informáticos.

d) TEORÍA JURÍDICA

La conducta del procesado Benito Coba Claudio se subsumió en el tipo penal establecido

actualmente en el artículo 190 del Código Orgánico Integral Penal, anteriormente, articulo

553.1 del Código Penal que estuvo vigente hasta el 9 de agosto del 2014; esta es la norma

penal aplicable a la fecha en que se cometió la infracción (abril del 2013).

El sujeto activo de la infracción en calidad de autor fue el señor Benito Claudio Coba.

La víctima o perjudicado por la infracción fue la compañía Experimental, de la cual el señor

Coba fue su Gerente General. El bien jurídico protegido es la propiedad, en este caso de los

dineros que pertenecen a la compañía Experimental y que se hallan depositados en la

cuenta de dicha compañía en el Banco Equinoccial. El medio idóneo para la realización del

tipo penal fue la utilización de medios informáticos (sistema CASH MANAGEMENT a través

de Internet, utilizando su usuario y clave que no habían sido revocados) de manera

fraudulenta.

35

e) PROPOSICIONES FÁCTICAS

- Benito Coba Claudio cesó en sus funciones como Gerente de la compañía Experimental,

en el mes de febrero del 2013, por lo tanto, cualquier actuación realizada a nombre de la

compañía o en operaciones con dinero de la compañía, a partir del mes de marzo del 2013,

es indebida y por ende ilegal, antijurídica.

- El Banco Equinoccial cometió un grave error operativo, al no revocar el usuario y clave

informática del señor Benito Coba Claudio, a pesar de la petición escrita del gerente actual

de la compañía Experimental.

- El señor Benito Coba Claudio se aprovechó de la condición de vigencia de su clave y

usuario y perfil FULL en el sistema CASH MANAGEMENT del Banco Equinoccial, para

efectuar transferencias por el valor total de USD$ 21.000, originando el egreso de fondos en

la cuenta de la compañía Experimental, con destino a su cuenta personal del mismo Banco.

- Se desconoce la dirección de la terminal IP (protocolo de internet) desde la cual el señor

Benito Coba Claudio realizó las transacciones denunciadas como ilícitas, pero

inequívocamente el destino de estas transferencias fraudulentas fue su cuenta en el Banco

Equinoccial.

- La compañía Experimental fue víctima de la sustracción de sus fondos a través de la

plataforma informática CASH MANAGEMENT, siendo víctima o perjudicado por la

infracción, perjuicio económicamente reparado por el Banco Equinoccial, mediante convenio

suscrito en mayo del 2013.

- El señor Benito Coba Claudio alega que las transferencias realizadas desde la cuenta de la

compañía Experimental, a su cuenta personal, las hizo en virtud de una supuesta “deuda”

que mantenían con él los otros socios de la compañía Experimental, entre ellos, el actual

gerente de dicha empresa.

f) PRUEBAS

En el presente caso, a fin de poder probar la teoría del caso, tenemos identificadas pruebas

testimoniales, documentales y periciales.

36

I. Prueba testimonial:

- Testimonio del Ingeniero Daniel Villarreal Pastaza, actual gerente de la compañía

Experimental.

- Testimonio de los señores Carlos Bueno García y Rita Fernández Ordoñez, funcionarios

del Banco Equinoccial, Área de Cash Management.

- Testimonio de Alfredo Antonio Donoso Cevallos, socio de los señores Benito Coba Claudio

y Daniel Villarreal Pastaza en la compañía Experimental.

- Testimonio del perito, Cabo de Policía Juan Chicaiza Solano, quien realizó la diligencia de

reconocimiento del lugar de los hechos.

- Testimonio del Economista Oswaldo Pavón Herrera, perito contable acreditado ante el

Consejo de la Judicatura.

- Testimonio de los Ingenieros Diego Pánchez Villalba y Rafael Melgarejo Heredia, peritos

informáticos debidamente acreditados ante el Consejo de la Judicatura.

II. Prueba documental:

- Nombramiento del señor Daniel Villarreal Pastaza en calidad de gerente general de la

compañía Experimental, en el mes de marzo del 2013.

- Oficio del señor Daniel Villarreal Pastaza dirigido al Banco Equinoccial en el mes de marzo

del 2013, solicitando la revocación del usuario y claves informáticos del ex gerente de la

empresa Experimental, señor Benito Coba Claudio.

- Documentos de soporte del CASH MANAGEMENT del perfil Operador (asignado al señor

Alfredo Antonio Donoso Cevallos) y del perfil Full (asignado al señor Benito Coba Claudio).

- Documentos de transacción generados por el CASH MANAGEMENT, en los cuales se

registran las transferencias con destino a la cuenta del señor Benito Coba Claudio.

37

- Convenio suscrito entre el Banco Equinoccial y la empresa Experimental, para la

acreditación de los USD$ 21.000 del perjuicio, en mayo del 2013.

- Movimientos bancarios de la cuenta de la compañía Experimental y de la cuenta del señor

Benito Coba Claudio, correspondientes al mes de abril del 2013, información proporcionada

por el Banco Equinoccial.

III. Prueba pericial:

- Informe pericial informático realizado por los Ingenieros Diego Pánchez Villalba y Rafael

Melgarejo Herrera.

- Informe pericial contable presentado por el Economista Oswaldo Pavón Herrera.

- Informe N° 342-PJP de reconocimiento del lugar de los hechos, suscrito por el Cabo de

Policía, Juan Chicaiza Solano.

g) FORTALEZAS

- Existen los elementos necesarios que demuestran el resultado del delito, es decir, a qué

cuenta fue transferido el dinero de la empresa Experimental;

- Existe el testimonio del asociado común de los señores Benito Coba Claudio y Daniel

Villarreal Pastaza, quien afirma que la empresa Experimental no adeudaba ningún concepto

al señor Benito Coba Claudio.

- La prueba pericial informática demuestra el proceso de transacciones que se originaron en

la cuenta de la empresa Experimental y que tuvieron como destino la cuenta del señor

Benito Coba Claudio, en el mes de abril del 2013.

- La documentación de soporte del sistema CASH MANAGEMENT demuestra que

solamente el señor Benito Coba Claudio, en su calidad de gerente general de la compañía

Experimental, estaba habilitado con perfil FULL, esto es, la capacidad para realizar

transferencias de dinero desde la cuenta de la compañía Experimental.

38

- El convenio suscrito entre el Banco Equinoccial y la compañía Experimental, demuestra

que el perjuicio que sufrió la empresa Experimental fue ocasionado por un agente externo,

cuya acción se vio facilitada por un error administrativo-operativo de los funcionarios del

Área de CASH MANAGEMENT del Banco Equinoccial.

h) DEBILIDADES

- En el informe pericial informático existe determinada la dirección IP de un terminal

computacional cuya dirección física, si bien corresponde a la ciudad de Quito, no tiene

relación con alguna ubicación relacionada con el señor Benito Coba Claudio.

- Los peritos informáticos no pudieron determinar la dirección MAC, que es el identificador

único de la tarjeta de red de una computadora en este caso, lo que implica que el delito

debería ser considerado únicamente por su resultado final, es decir, por el destino de la

acreditación de los fondos de la compañía Experimental en la cuenta del señor Benito Coba

Claudio.

- Existe un error operativo bancario que facilita la comisión del delito, lo que podría ser

interpretado como una condición de autorización del Banco Equinoccial al señor Benito

Coba Claudio, para que el mismo siguiese actuando con perfil FULL de operaciones, a

través del sistema CASH MANAGEMENT, en la cuenta de la compañía Experimental.

I) INTERROGATORIOS

1) Preguntas introductorias:

A los señores peritos.

Indique al Tribunal de Garantías Penales sobre su experiencia profesional.

A los testigos de cargo.

Explique las funciones que desempeñaba en el Banco Equinoccial o en la compañía

Experimental.

39

2) Preguntas de relación de los testigos con los hechos:

A los señores peritos informáticos.

¿Qué observó en los logs o registros informáticos de respaldo extraídos de los servidores

del Banco Equinoccial, relativos a las transacciones de la cuenta de la compañía

Experimental, correspondientes a los días 18, 19 y 21 de abril del 2013?

Al señor Daniel Villarreal Pastaza, actual Gerente de la compañía Experimental.

¿La compañía Experimental mantenía alguna deuda con el señor Benito Coba Claudio a la

fecha en que éste cesó en sus funciones como gerente general de la empresa

Experimental?

A los funcionarios del Banco Equinoccial.

¿Cómo se llevó a cabo el trámite de revocación del usuario y clave del señor Benito Coba

Claudio en el sistema CASH MANAGEMENT, posterior a la presentación de la carta suscrita

por el señor Daniel Villarreal Pastaza?

3) Preguntas de descripción:

Al señor perito contable.

¿Qué tipo de transacciones identificó en su examen, relacionadas con operaciones de

transferencias bancarias realizadas entre las cuentas de la compañía Experimental y el

señor Benito Coba Claudio?

A los funcionarios del Banco Equinoccial.

Describa el proceso de transferencias que se realiza a través del sistema CASH

MANAGEMENT.

40

Al señor Alfredo Antonio Donoso Cevallos, ex socio del señor Benito Coba Claudio.

Explique en qué consistían las operaciones o transacciones que usted podía realizar con el

perfil OPERADOR en el sistema Cash Management.

¿Eran iguales las funciones que podía realizar el perfil OPERADOR respecto del perfil FULL

en el sistema CASH MANAGEMENT?

J) ALEGATO DE CLAUSURA

Fiscalía ha probado la existencia material de la infracción, con los siguientes elementos:

Testimonio del actual gerente de la compañía Experimental, señor Daniel Villarreal Pastaza,

quien ha indicado que tiene la calidad de gerente general de la compañía Experimental,

desde el mes de marzo del 2013, y para ello ha presentado copia debidamente notarizada

de su nombramiento vigente por dos años; testimonio del procurador judicial del Banco

Equinoccial, doctor Luis Sempértegui Fernández, quien ha demostrado la calidad de

perjudicado que tiene el Banco, presentando ejemplar debidamente protocolizado del

convenio suscrito entre el Banco Equinoccial y la compañía Experimental; testimonios de

Carlos Bueno García y Rita Fernández Ordoñez, funcionarios del Banco Equinoccial,

quienes han descrito cuál fue el tratamiento que dieron a la solicitud presentada por parte

del señor Daniel Villarreal Pastaza, actual gerente general de la compañía Experimental.

Han reconocido que por errores operativos no deshabilitaron el usuario y la clave de acceso

del señor Benito Coba Claudio, en el mes de marzo del 2013, realizándolo sin fallas, en el

mes de mayo del 2013, cuando las transacciones materia de la investigación penal ya

fueron efectuadas, alertados por la carta de reclamo que presentó el señor Daniel Villarreal

Pastaza al Banco Equinoccial; Testimonio de Alfredo Antonio Donoso Cevallos, socio de los

señores Benito Coba Claudio y Daniel Villarreal Pastaza en la compañía Equinoccial, quien

manifestó que en calidad de miembro directivo de la compañía Experimental, podía

únicamente visualizar los saldos y movimientos de la cuenta de la empresa Experimental en

el sistema CASH MANAGEMENT, indicó que su perfil era OPERADOR y no full, y que en

calidad de OPERADOR, alertó al señor Daniel Villarreal Pastaza respecto de las

transferencias fraudulentas realizadas por parte del señor Benito Coba Claudio, cuando

realizó la revisión mensual de los saldos de cuenta de la empresa Experimental, a finales del

mes de abril del 2013; testimonio del Cabo de Policía Juan Chicaiza Solano, quien realizó la

diligencia de reconocimiento del lugar de los hechos, estableciendo la dirección de la

41

compañía Experimental en la ciudad de Quito; testimonio del Economista Oswaldo Pavón

Herrera, perito contable acreditado ante el Consejo de la Judicatura, quien ha indicado que

su examen determina que ha existido un egreso de activo patrimonial de la cuenta de la

compañía Experimental, por el valor de USD$ 21.000, que ha tenido como destino la cuenta

que tiene en el Banco Equinoccial el señor Benito Coba Claudio; y, el testimonio de los

Ingenieros Diego Pánchez Villalba y Rafael Melgarejo Heredia, peritos informáticos

debidamente acreditados ante el Consejo de la Judicatura, quienes han referido

detalladamente respecto del funcionamiento del sistema CASH MANAGEMENT y han

explicado informáticamente la forma en que se realizó las transferencias de fondos,

originándose ésta en la cuenta de la compañía Experimental, con destino a la cuenta

personal del señor Benito Coba Claudio, ambas activas en el Banco Equinoccial.

La materialidad de la infracción ha quedado comprobada también, con los documentos

relativos al convenio suscrito entre la compañía Experimental y el Banco Equinoccial, en el

mes de mayo del 2013, así como con los documentos generados del sistema CASH

MANAGEMENT que acreditan la transferencias de fondos desde la cuenta de la empresa

Experimental, con destino a la cuenta personal del señor Benito Coba Claudio. De igual

forma, se hallan presentados los informes de reconocimiento del lugar de los hechos, pericia

informática y pericia contable.

Respecto a la participación y responsabilidad del señor Benito Coba Claudio en los hechos

que se han investigado, debemos indicar que el procesado no ha logrado justificar el motivo

de las transferencias que realizó con destino a su cuenta, en el mes de abril del 2013; no ha

presentado documentos justificativos de que la compañía Experimental mantuviese una

deuda con su persona, tal como lo supo manifestar en su testimonio. Los documentos que

ha presentado en juicio, se refieren a negocios realizados con sus ex socios, señores Daniel

Villarreal Pastaza y Alfredo Antonio Donoso Cevallos, negocios que no involucran el capital

social o el patrimonio de la compañía Experimental. Y aún en el supuesto de que la

compañía hubiese debido algo al actual procesado, su actuación arbitraria respecto de los

fondos de la compañía Experimental, es antijurídica, pues aprovechó el hecho de que su

usuario y clave no fueron revocados por el Banco Equinoccial, para realizar transferencias

de dinero a su cuenta personal, con plena conciencia y voluntad de que sus acciones eran

ilegales, ya que había dejado de ser administrador de la compañía Experimental, en el mes

de marzo del 2014.

42

Conforme al artículo 65 del Código de Procedimiento Penal vigente al momento de la

comisión del delito, se han practicado todos los actos idóneos y necesarios para probar la

responsabilidad y materialidad del presente delito (nexo causal, actual artículo 455 del

COIP), habiéndose configurado en este caso la conducta descrita en el artículo 553.1 del

Código Penal vigente al momento de la comisión del delito (artículo 190 del actual COIP),

puesto que el señor Benito Coba Claudio, teniendo el dominio del hecho, y con plena

conciencia y voluntad, procedió a transferirse a su cuenta personal, la suma de USD$

21.000 desde la cuenta de la compañía Experimental, aprovechándose del error operativo

en que incurrió el Banco Equinoccial, institución que facilitó la consumación del ilícito, y cuya

responsabilidad por negligencia fue causa de la reparación económica a la empresa

Experimental, mediante el convenio suscrito en el mes de mayo del 2013 con el actual

gerente general de la compañía Experimental, señor Daniel Villarreal Pastaza.

El señor Benito Coba Claudio tiene la calidad de AUTOR de la infracción cometida en contra

de la empresa Experimental, cuyo perjuicio económico asumió el Banco Equinoccial,

conforme lo demostró la pericia contable. Se violentó por parte del procesado el derecho de

propiedad consagrado en la Constitución de la República vigente, artículo 66, numeral 26;

en consecuencia, al haberse cumplido todos los requisitos que exigen los artículos 304-A y

312 del Código de Procedimiento Penal vigente a la fecha de la comisión de la infracción

(actual artículo 622 del COIP), pido, señores jueces, que al procesado se le aplique el

máximo de la pena privativa de libertad contemplada en el artículo 553.1 del Código Penal

vigente a la fecha de la infracción (actual artículo 190 del COIP) y que además se lo

condene a la reparación económica integral al actual afectado económico, Banco

Equinoccial, por la suma de USD$ 21.000 más los intereses de Ley generados por esa

suma de dinero, y, la condena del pago de costas procesales.

43

N° 2: TEORÍA DEL CASO DE LA DEFENSA DEL PROCESADO4

a) TÍTULO: COMPRAS ELECTRÓNICAS FRAUDULENTAS EN MEGAMAXI DE LA

CIUDAD DE QUITO.

b) RELATO DE LOS HECHOS

En fecha 15 de junio del 2012, el señor Edison Sango Páez fue detenido en las instalaciones

del MEGAMAXI ubicado en el Centro Comercial El Recreo de la ciudad de Quito, realizando

compras con una tarjeta prepago PACIFICARD. Cuando se acercó a la caja N° 15 del local

comercial, iba a realizar la compra de un equipo de sonido valorado en USD$ 850, pero el

cajero de Megamaxi, señor Fernando Vinicio Mena Bonilla, advirtió que cuando procesó la

transacción de pago con la tarjeta Prepago PACIFICARD del señor Sango, al imprimirse el

voucher, los dos últimos números de los cuatro que salen, y que son correspondientes a la

tarjeta que se presenta al pago, NO coincidían con los de la tarjeta que se entregó para el

pago. Ante esta situación, el señor Edison Sango fue detenido por los guardias de

Megamaxi, quienes inmediatamente llamaron a la Policía Nacional, que realizó y legalizó la

detención.

La tarjeta prepago PACIFICARD que estaba en poder del señor Edison Sango Páez, tenía

inserta una banda magnética que contenía los datos y códigos electrónicos de una tarjeta

Visa Banco Continental, cuyo titular era el señor Jonás Merlo Hidalgo. Al realizarse las

constataciones respectivas por parte del Banco, se determinó que en el período

comprendido entre el 1 de junio y el 15 de junio del 2012, el señor Edison Sango Páez había

realizado compras en los almacenes Megamaxi y Santa María, en las ciudades de Quito y

Ambato, con cargo a la tarjeta de crédito Visa del señor Jonás Merlo Hidalgo, por un monto

aproximado de USD$ 12.000, no obstante de lo cual, al momento de ser detenido, se

constató únicamente las compras que había realizado por una suma total de USD$ 1.560.

4 Este segundo ejercicio práctico ha sido formulado en base a un caso real que se suscitó en la ciudad de Quito.

Los nombres de los sujetos intervinientes han sido cambiados para proteger su derecho constitucional a

la intimidad y a la privacidad.

44

c) ALEGATO DE APERTURA

En esta audiencia voy a demostrar que mi defendido, señor Edison Sango Páez, fue víctima

de una estafa de tipo comercial, y que las compras que realizó en el local del Megamaxi de

la ciudad de Quito, las hizo con absoluto desconocimiento de la circunstancia que se indica

ha tenido la tarjeta prepago PACIFICARD, esto es, que la banda magnética inserta en la

misma, ha sido previamente clonada de una tarjeta VISA del señor Jonás Merlo Hidalgo y

luego insertada en dicha tarjeta prepago.

Voy a demostrar también que no existe el delito de uso doloso de documento falso que ha

acusado la Fiscalía, y que mi defendido no tiene el conocimiento ni la capacidad de efectuar

clonación de tarjetas o copia electrónica de claves.

d) TEORÍA JURÍDICA

La Fiscalía de Pichincha ha acusado al señor Edison Sango Páez por el delito tipificado en

el artículo 340 del Código Penal, en concordancia con el artículo 341 del mismo cuerpo

legal, vigente a la fecha de comisión del delito, esto es, utilización dolosa de documento

privado falso. Sin embargo, los hechos se encuadran presuntamente en lo establecido por el

artículo 353.1 del mismo Código Penal, en relación con la falsificación electrónica de la cual

fue objeto la banda magnética de la tarjeta de crédito VISA del señor Jonás Merlo Hidalgo.

Para que exista autoría en el presente caso, el sujeto responsable de la infracción debe

incurrir en alguna de las modalidades establecidas en el artículo 42 del actual COIP:

Autoría directa

Quienes cometan la infracción de una manera directa e inmediata.

Quienes no impidan o procuren impedir que se evite su ejecución teniendo el deber

jurídico de hacerlo.

45

Autoría mediata

Quienes instiguen o aconsejen a otra persona para que cometa una infracción,

cuando se demuestre que tal acción ha determinado su comisión.

Quienes ordenen la comisión de la infracción valiéndose de otra u otras personas,

imputables o no, mediante precio, dádiva, promesa, ofrecimiento, orden o cualquier

otro medio fraudulento, directo o indirecto.

Quienes por violencia física, abuso de autoridad, amenaza u otro medio coercitivo,

obliguen a un tercero a cometer la infracción, aunque no pueda calificarse como

irresistible la fuerza empleada con dicho fin.

Quienes ejerzan un poder de mando en la organización delictiva.

e) PROPOSICIONES FÁCTICAS

- El señor Edison Sango Páez, adquirió una tarjeta prepago PACIFICARD en el mes de

mayo del 2012, a través de una oferta comercial.

- El señor Edison Sango Páez, ignoraba que en la tarjeta prepago PACIFICARD había sido

insertada una banda magnética que correspondía a la copia o clonación de los datos

electrónicos de la tarjeta de crédito VISA del señor Jonás Merlo Hidalgo.

- El señor Edison Sango Páez era comprador de buena fe el día 15 de junio del 2014, pues

presenta una tarjeta PACIFICARD en la cual está grabado su nombre. Las compras las

realiza por el valor de USD$ 1.560 y fue detenido por los guardias del Megamaxi únicamente

por “apresurarse al realizar las compras”.

- El señor Edison Sango Páez, no tiene conocimientos técnicos para realizar una operación

de clonación electrónica de tarjetas. Es padre de familia, gana un sueldo en una institución

privada y su trabajo no tiene relación con temas informáticos, electrónicos o de la banca o

instituciones de crédito.

46

- No existen pruebas testimoniales que acrediten las compras realizadas por mi defendido,

entre el 1 y el 14 de junio del 2015, en los almacenes de Supermaxi y Santamaría. El

reclamo presentado por parte del señor Jonás Merlo Hidalgo referente a los consumos que

se acreditaron a su tarjeta de crédito VISA, no es prueba de que el señor Edison Sango

Páez los haya realizado.

- El perjudicado u ofendido por la presunta infracción es el señor Jonás Merlo Hidalgo, quien

no ha comparecido a juicio. El Banco Continental que es la institución financiera que emite la

tarjeta VISA, no puede invocar la calidad de ofendido por la infracción, pese a haber

presentado acusación particular, puesto que no cumple con los presupuestos del artículo 68

del Código de Procedimiento Penal vigente a la fecha de comisión del delito (víctima del

delito según el actual artículo 441 del COIP).

f) PRUEBAS

En el presente caso, a fin de poder probar la teoría del caso, tenemos identificadas pruebas

testimoniales, documentales y periciales.

I. Prueba testimonial:

- Testimonio del señor Edwin Pazmiño Sagbay, Subteniente de Policía que realizó la

detención de Edison Sango Páez, el 15 de junio del 2012.

- Testimonio del señor Hugo Vidal Méndez, guardia de seguridad del Centro Comercial

Megamaxi.

- Testimonio de la señorita Magdalena Bedoya Ruiz, cajera de MEGAMAXI, quien receptó el

pago de USD$ 400 por compras de alimentos por parte del señor Edison Sango Páez, el

mismo día 15 de junio del 2012, sin que se presenten problemas.

- Testimonio del Ingeniero Milton Efraín Jaque Tarco, perito informático del Laboratorio de

Criminalística de la Policía Judicial de Pichincha.

- Testimonio del Cabo de Policía Moisés Alipio Beltrán Castro, perito documentológico del

Laboratorio de Criminalística de la Policía Judicial de Pichincha.

47

- Testimonio de la señora Rita Maldonado Maridueña sobre la honorabilidad de Edison

Oswaldo Sango Páez.

- Testimonio del Economista Oswaldo Víctor Rodríguez Ojeda, ministro de culto evangélico,

sobre el comportamiento y honorabilidad de Edison Oswaldo Sango Páez.

II. Prueba documental:

- Certificados de referencias comerciales, otorgados por instituciones del sistema financiero

y almacenes de la ciudad de Quito.

- Certificados que acreditan honorabilidad del señor Edison Sango Páez.

- Certificado único conferido por los Tribunales de Garantías Penales de Pichincha, de que

el señor Edison Sango Páez no está siendo juzgado por ningún delito de acción pública

diferente al de la presente causa.

- Certificado único conferido por los juzgados de Garantías Penales de Pichincha, de que el

señor Edison Sango Páez no ha sido procesado por ninguna otra causa penal diferente a la

que actualmente se juzga.

III. Prueba pericial:

- Informe pericial informático realizado por el Ingeniero Milton Jaque Tarco, perito del

Laboratorio de Criminalística de la Policía Judicial de Pichincha, e informe ampliatorio

solicitado por Edison Sango Páez.

- Pericia grafotécnica realizada por el Cabo de Policía Moisés Alipio Beltrán Castro, perito

del Laboratorio de Criminalística de la Policía Judicial de Pichincha, que determina que las

firmas constantes en los vouchers del MEGAMAXI que constan en la cadena de custodia

adjunta al parte de detención de 15 de junio del 2012, se corresponden gráfica y

morfológicamente con las firmas y rúbricas de la cédula del señor Edison Sango Páez.

48

g) FORTALEZAS

- Se cuenta con el testimonio de la cajera del MEGAMAXI, señorita Magdalena Bedoya Ruiz,

quien ha indicado que el señor Edison Sango Páez realizó una compra de USD$ 400, el 15

de junio del 2012, pagando en su caja, sin que se reporte ninguna novedad.

- La prueba pericial informática demuestra el proceso con el cual se clonó la banda

magnética de la tarjeta VISA Banco Continental cuyo titular es el señor Jonás Merlo Hidalgo,

pero en la ampliación solicitada, la pericia determina que el molde físico de la tarjeta

PREPAGO PACIFICARD es auténtico, razón por la cual, no ha existido falsificación de la

tarjeta en sí misma, sino de la banda magnética.

- No existe una pericia contable que demuestre el perjuicio alegado por la acusación

particular (Banco Continental) por la suma de USD$ 12.000 en virtud de compras realizadas

con débito a la tarjeta VISA del señor Jonás Merlo Hidalgo, desde el 1 al 14 de junio del

2012. En tal virtud, solamente existen vouchers de compra por el valor de USD$ 1.560.

- Las certificaciones bancarias, referencias comerciales y certificados de los Tribunales y

juzgado de Garantias Penales, demuestran que el señor Edison Sango Páez es una

persona solvente, comercialmente activa y que ha utilizado otros instrumentos para sus

transacciones, sin presentar inconvenientes con los mismos.

- El señor Jonás Merlo Hidalgo, titular de la tarjeta VISA, no presentó acusación particular ni

se presentó en calidad de ofendido al juicio.

- La firma del señor Edison Sango Páez que consta en los vouchers de compra en el

MEGAMAXI, de fecha 15 de junio del 2012, se corresponde con la firma auténtica de mi

defendido que consta en su cédula de ciudadanía, esto es, realizó las compras de buena fe,

en forma personal y con su verdadera identidad.

h) DEBILIDADES

- El testimonio del cajero de MEGAMAXI, señor Fernando Mena Bonilla, cajero N° 15, quien

asegura que al procesar la transacción de compra del señor Edison Sango Páez, por la

49

suma de USD$ 850 dólares, encontró inconsistencia de los datos de la tarjeta prepago

PACIFICARD, respecto de los datos numéricos insertos en el voucher de compra.

- Existen los estados de cuenta de la tarjeta VISA del señor Jonás Merlo Hidalgo que

efectivamente establecen consumos en los locales MEGAMAXI y SANTAMARIA, en el

período comprendido entre el 1 al 15 de junio del 2012, consumos que han sido reclamados

por el señor Jonás Merlo Hidalgo al Banco Continental.

- Si bien la compra que fue causa de la detención flagrante suma un total de USD$ 1.560, el

cupo de compras de una tarjeta prepago PACIFICARD, no tiene relación con el cupo de

compras que puede tener una tarjeta VISA tipo internacional de las características de la que

usa el señor Jonás Merlo Hidalgo.

- Existe una experticia documentológica realizada también por el Cabo de Policía Moisés

Alipio Beltrán Castro, perito del Laboratorio de Criminalística de la Policía Judicial de

Pichincha, que indica que la tarjeta prepago emitida por PACIFICARD no cumple con las

medidas o parámetros de seguridad que se establecen para una tarjeta de crédito, por lo

que determina que dicha tarjeta presuntamente no podía ser utilizada para realizar compras

a crédito, no obstante, reconoce la autenticidad del molde o envasado de dicha tarjeta.

I) INTERROGATORIOS

1) Preguntas introductorias:

A los guardias de seguridad de Megamaxi

¿Cuál fue la razón por la que a ustedes les pareció inusual la compra que estaba realizando

el señor Edison Sango Páez en el MEGAMAXI el día 15 de junio del 2012?

Al representante judicial del Banco Continental, acusador particular

¿Cuál es la justificación de su comparecencia como víctima u ofendido en este juicio?

¿Se practicó una pericia contable que haya determinado el perjuicio de USD$ 12.000

alegado en la acusación particular?

50

2) Preguntas de relación de los testigos con los hechos:

A la señorita Magdalena Bedoya Ruiz, cajera de Megamaxi

Indique el proceso de compra que realizó el señor Edison Sango Páez en su caja en el

centro comercial Megamaxi.

¿Existió alguna inusualidad en la transacción de compra que realizó en su caja el señor

Edison Sango Páez, el 15 de junio del 2012?

Al señor Fernando Mena Bonilla, cajero del MEGAMAXI.

¿Usted determinó que la tarjeta prepago PACIFICARD del señor Edison Sango Páez era

falsa?

¿Su compañera Magdalena Bedoya Ruiz le reportó a usted de la existencia de alguna

anormalidad en la transacción procesada por ella, minutos antes de que el señor Edison

Sango Páez se acercase a su caja?

¿El nombre impreso en el voucher que se le exhibe dice “Edison Sango”?

3) Preguntas de descripción:

Al perito informático Milton Jaque Tarco.

¿Se necesita un procedimiento técnico especializado para la clonación de la banda

magnética de una tarjeta de crédito?

¿Se requiere un conocimiento especial para el envasado de la banda magnética de una

tarjeta de crédito en el molde de otra?

51

Al perito grafotécnico Moisés Alipio Beltrán Castro.

Explique las características de la firma inserta en el voucher de compra que se exhibe, en

relación a la firma y rúbrica del señor Edison Sango Páez constante en su cédula de

ciudadanía.

Indique si la tarjeta prepago PACIFICARD que se le exhibe es una tarjeta de molde

falsificado o si se trata de una tarjeta auténtica.

Al señor Economista Oswaldo Víctor Rodríguez Ojeda, ministro de culto evangélico.

Indique sobre la personalidad y el comportamiento que tiene el señor Edison Sango Páez en

el barrio y comunidad en la cual vive, si se trata de una persona honorable o si ha tenido

disputas o problemas con personas del lugar.

J) ALEGATO DE CLAUSURA

Se ha demostrado que no existe responsabilidad de mi defendido, señor Edison Sango

Páez, con las siguientes pruebas: Testimonio del procesado Edison Sango Páez, quien ha

manifestado tener instrucción secundaria y cuya formación profesional o técnica no le

permite tener conocimientos técnicos especializados en materia informática o electrónica,

por lo que es imposible que mi defendido haya podido realizar la clonación de la banda

magnética de la tarjeta VISA del señor Jonás Merlo Hidalgo, peor aún introducirla y ponerla

en funcionamiento en el molde de la tarjeta prepago PACIFICARD; testimonio del perito

informático, Ingeniero Milton Jaque Tarco, quien ha descrito el proceso por el cual se lleva a

cabo la copia o clonación informática de la banda magnética de una tarjeta de crédito o

débito, estableciendo que se necesitan conocimientos especializados en informática para

realizar este tipo de procesos; testimonio del perito documentológico Moisés Alipio Beltrán

Castro, quien ha confirmado que el soporte físico de la tarjeta prepago PACIFICARD es

auténtico y no presenta falsificación en cuanto a su contenido y características; testimonio

de la señorita Magdalena Bedoya Ruiz, cajera de Megamaxi, quien refiere la compra de

productos por la suma de USD$ 400 por parte del señor Edison Oswaldo Sango Páez,

transacción que no presentó novedades, refiriendo además que los guardias del

establecimiento son quienes se acercaron a la cajas a indicar que les pareció sospechosa la

forma como el señor Edison Oswaldo Sango Páez y su esposa escogían los productos en

52

las estanterías, sin mirar los precios; testimonio del guardia de MEGAMAXI, Hugo Vidal

Méndez, quien establece que el motivo de la aprehensión del señor Edison Oswaldo Sango

Páez fue la de sospechar de él por la forma en que escogió los productos de las estanterías

en el MEGAMAXI, sin mirar los precios, y que de este particular alertó al cajero N° 15, señor

Fernando Mena Bonilla, lo que significa que no existió un motivo justificado para la

aprehensión flagrante de que fue objeto el señor Edison Oswaldo Sango Páez; testimonios

de honorabilidad que demuestran la buena conducta social de mi defendido en su vida diaria

en la comunidad.

Con la pericia grafotécnica practicada sobre las firmas del señor Edison Oswaldo Sango

Páez, insertas en los vouchers de compra del MEGAXI, de fecha 15 de junio del 2012 se ha

comprobado que estas firmas son auténticas, lo que demuestra que mi defendido era

comprador de buena fe. La tarjeta de crédito prepago PACIFICARD es una tarjeta que fue

adquirida en la ciudad de Guayaquil, y la Fiscalía y la acusación particular no han podido

probar de ninguna manera que esta tarjeta haya sido adquirida de forma ilícita, ya que su

molde es auténtico.

Por otra parte, no se practicó durante la instrucción fiscal, ninguna pericia contable que

demuestre el supuesto perjuicio alegado por la acusación particular, alcanzando la suma de

USD$ 1.560 las compras efectuadas el día 15 de junio del 2012, no obstante de lo cual, la

compra por la cual se creó el incidente de flagrancia es por la suma de USD$ 800 en la caja

N° 15 del MEGAMAXI, en razón de lo cual, el supuesto perjuicio realmente determinable en

este caso es una cantidad notablemente menor al perjuicio alegado por la acusación

particular de USD$ 12.000. No ha podido probar de ninguna manera la acusación particular,

el Banco Continental, que se trate de un delito continuado, presentando documentos y

estados de cuenta de consumos del señor Jonás Merlo Hidalgo, en el período comprendido

entre el 1 al 14 de junio del 2012.

Con todo el acervo probatorio indicado, se ha desvirtuado la teoría del caso de la Fiscalía y

de la acusación particular, y al no existir responsabilidad de mi defendido en los hechos

acusados por la Fiscalía, en virtud del resultado de la infracción conforme al tipo penal que

se ha juzgado, esto es, falsificación y uso doloso de documento privado falso, artículo 340

en concordancia con el 341 del Código Penal, pedimos a ustedes, señores jueces, se sirvan

confirmar en sentencia, el estado de inocencia de mi defendido, señor Edison Oswaldo

53

Sango Páez y ordenen el levantamiento de todas las medidas cautelares que pesan sobre

su persona.

Así mismo se servirán declarar como maliciosa y temeraria la acusación particular

presentada por el Banco Continental, ya que no ha logrado justificar su calidad de víctima

dentro del presente caso, así como tampoco ha demostrado a través de una pericia

contable, el supuesto perjuicio de USD$ 12.000 que alega que se ha producido a

consecuencia de las compras realizadas supuestamente por el señor Edison Oswaldo

Sango Páez, con cargo a su tarjeta VISA Banco Continental, en el periodo comprendido

entre el 1 y el 15 de junio del 2012.

En el caso no consentido de no aceptarse las pruebas del estado de inocencia de mi

defendido, solicito al Tribunal acoger las pruebas que se han presentado de buena conducta

y ausencia de antecedentes penales judiciales de Edison Oswaldo Sango Páez, para que se

apliquen circunstancias atenuantes del artículo 29 del Código Penal vigente hasta el 9 de

agosto del 2014, actuales artículos 45 y 46 del Código Orgánico Integral Penal que me

permito citar:

Art. 45 del COIP.- Circunstancias atenuantes de la infracción.- Son circunstancias atenuantes de la infracción penal: 1.- Cometer infracciones penales contra la propiedad sin violencia, bajo la influencia de

circunstancias económicas apremiantes. 2.- Actuar la persona infractora por temor intenso o bajo violencia. 3.- Intentar, en forma voluntaria anular o disminuir las consecuencias de la infracción o brindar

auxilio y ayuda inmediatos a la víctima por parte de la persona infractora. 4.- Reparar de forma voluntaria el daño o indemnizar integralmente a la víctima. 5.- Presentarse en forma voluntaria a las autoridades de justicia, pudiendo haber eludido su acción

por fuga u ocultamiento. 6.- Colaborar eficazmente con las autoridades en la investigación de la infracción.

Art. 46 del COIP.- Atenuante trascendental.- A la persona procesada que suministre datos o informaciones precisas, verdaderas, comprobables y relevantes para la investigación, se le impondrá un tercio de la pena que le corresponda, siempre que no existan agravantes no constitutivas o modificatorias de la infracción.

CAPÍTULO IV

CADENA DE CUSTODIA EN LOS DELITOS INFORMÁTICOS Y ELECTRÓNICOS QUE

AFECTAN A LAS INSTITUCIONES DEL SISTEMA FINANCIERO

55

1.- ¿Qué es la cadena de custodia?

Se define como cadena de custodia, al procedimiento ordenado y concatenado de registro y

manejo de la evidencia materia de la investigación de un delito, y, a decir de Rubén Angulo

González1, “es el documento escrito donde quedan reflejadas las incidencias de una

prueba”. Fabio Espitia Garzón establece que la cadena de custodia “es el procedimiento que

consiste en la recolección, el debido embalaje, la identificación, la rotulación y el almacenaje

de las evidencias encontradas en la escena del crimen con el fin de precautelar su

integridad”.2

La cadena de custodia constituye una garantía para los sujetos que intervienen en un

proceso penal en el cual se garantizan los derechos de las partes. La libertad probatoria de

los sujetos procesales debe enmarcarse dentro de la legalidad de un procedimiento que

asegure que éstos puedan aportar las evidencias al proceso en condición íntegra y

auténtica, y permita constatar que las evidencias obtenidas son originales o extracciones

verídicas de las fuentes; tal como los eslabones de una cadena, se debe describir con

extrema suficiencia documental, cada uno de los pasos dados para la custodia de la

evidencia.

El artículo 456 del COIP, establece que la cadena de custodia se aplicará a los elementos

físicos o contenido digital materia de la prueba, para garantizar su autenticidad, acreditando

su identidad y estado original; las condiciones, las personas que intervienen en la

recolección, envío, manejo, análisis y conservación de estos elementos, incluyendo los

cambios hechos en ellos por cada custodio.

La cadena se inicia en el lugar donde se obtiene, encuentra o recauda el elemento de

prueba y finaliza por orden de la autoridad competente. Son responsables de su aplicación,

el personal del Sistema Especializado Integral de Investigación, de Medicina Legal y de

Ciencias Forenses y el personal del Laboratorio de Criminalística, ambos pertenecientes a la

Policía Técnica Judicial; el personal competente en materia de tránsito y todos los

1 Angulo González, Rubén, citado por Meek Neira, Michael. (2013). Delito Informático y Cadena de Custodia (p.

157). Bogotá, Colombia: Universidad Sergio Arboleda.

2 Espitia Garzón, Fabio, Cfr. (2011). Instituciones de Derecho Procesal Penal, 8va. Ed. (pp. 290-291). Bogotá,

Colombia: Legis.

56

servidores públicos y particulares que tengan relación con estos elementos, incluyendo del

personal de servicios de salud que tengan contacto con elementos físicos que puedan ser

de utilidad en la investigación.

El artículo 457 del COIP, dispone que la valoración de la prueba se realice teniendo en

cuenta su legalidad, autenticidad, sometimiento a cadena de custodia y grado actual de

aceptación científica y técnica de los principios en que se fundamenten los informes

periciales.

La demostración de la autenticidad de los elementos probatorios y evidencia física no

sometida a cadena de custodia, estará a cargo de la parte que los presente.

Los servidores públicos y personas particulares son responsables de la preservación de los

indicios materia de un hecho delictivo, hasta el momento de contar con la presencia de

personal especializado, de acuerdo al artículo 458 del Código Orgánico Integral Penal.

La ruptura de la cadena de custodia en cualquiera de sus eslabones no solo pone en duda

la decisión judicial que se funda en tales hechos indicadores para determinar la comisión de

un hecho punible, sino que también puede afectar, con base en la “teoría del árbol

envenenado”, a otras pruebas que tengan relación directa con la prueba impugnada, por lo

cual están condenadas a la inexistencia procesal a título de remedio para su actuación,

porque las ilicitudes probatorias no pueden generar licitudes o consecuencias de tipo

procesal. El artículo 250, inciso cuarto, numeral tercero de la Constitución de la República

dispone que una de las misiones de la Fiscalía General del Estado es la de asegurar los

elementos materiales probatorios, garantizando la cadena de custodia, mientras se ejerce su

contradicción.

2.- Evidencia digital y sus diferencias con la prueba documental

Contenido digital, tal como lo contempla el artículo 500 del Código Orgánico Integral Penal,

es todo acto informático que representa hechos, información o conceptos de la realidad,

almacenados, procesados o trasmitidos por cualquier medio tecnológico que se preste a

tratamiento tecnológico aislado, interconectado o relacionados entre sí.

En la investigación se seguirán las siguientes reglas:

57

1.- El análisis, valoración y recuperación y presentación del contenido digital almacenado en

dispositivos o sistemas informáticos, se realizará a través de técnicas digitales forenses.

2.- Cuando el contenido digital se encuentre almacenado en sistemas y memorias volátiles o

equipos tecnológicos que formen parte de la infraestructura crítica del sector público o

privado, se realizará su recolección, en el lugar y en tiempo real, con técnicas digitales

forenses para preservar su integridad, se aplicará la cadena de custodia y se facilitará su

posterior valoración y análisis de contenido.

3.- Cuando el contenido digital se encuentre almacenado en medios no volátiles, se realizará

su recolección con técnicas digitales forenses para preservar su integridad, se aplicará la

cadena de custodia y se facilitará su posterior valoración y análisis de contenido.

4.- Cuando se recolecte cualquier medio físico que almacene, procese o trasmita contenido

digital durante una investigación, registro o allanamiento, se deberá identificar e inventariar

cada objeto individualmente, se fijará su ubicación física con fotografías y un plano del lugar,

se protegerá a través de técnicas digitales forenses y se trasladará mediante cadena de

custodia a un centro de acopio especializado para este efecto.

Es el COIP el que establece algunas reglas para el manejo y conservación de los indicios o

evidencias de los delitos informáticos y electrónicos, ya que el Manual de Cadena de

Custodia emitido por el Consejo Directivo de la Policía Judicial y publicado en el Registro

Oficial N° 314, de 19 de agosto del 2014, no explica los métodos específicos de

conservación de la evidencia informática, tanto aquella que se halla almacenada en

sistemas, servidores y bases de datos informáticas, como la que constituye el hardware o

parte física del computador (discos duros) o bien memorias, ya sean éstas fijas o portátiles;

no podemos olvidarnos tampoco que, con el avance de la tecnología, la prueba informática

puede estar almacenada en medios físicos tales como teléfonos celulares, tabletas o

similares aparatos que funcionan en base a programas informáticos.

Michael Meek Neira manifiesta que: “Si bien es cierto que tal y como ocurre con la prueba

documental, la evidencia digital está en capacidad de representar un hecho con relevancia

procesal, también puede plasmar no solo hechos, sino cualquier objeto presente en el

mundo físico o en la imaginación de usuarios, de tal manera que puede convertirse en el

58

bien de representación por excelencia; incluso puede facilitar que se impartan comandos a

un sistema informático para el desarrollo automático de distintas operaciones”.3

La materialidad versus la inmaterialidad de la evidencia digital se torna en una diferencia

fundamental. La prueba documental exige en su estructura la corporalidad de la cosa

mueble apreciable por los sentidos, donde reposa un mensaje del que se puede identificar

a su autor; la prueba documental es entonces una cosa mueble susceptible de ser llevada a

juicio. La evidencia digital también puede ser llevada a juicio, pero no de forma aislada a un

sistema informático. Esto quiere decir que su medio de transporte es físico, pero su

reproducción solo puede darse mediante un medio electrónico como un computador físico o

portátil.

3.- Proceso de cadena de custodia de las evidencias o indicios de los delitos

informáticos y electrónicos que afectan al sistema bancario ecuatoriano

Dependiendo de cuáles son los medios que se utilizan para perpetrar el delito, sea a través

de programas informáticos o a través de la conexión de medios externos (discos duros,

memorias externas, microchips, micro cámaras), la evidencia del delito informático debe ser

recolectada para garantizar la mayor fidelidad posible al momento de reproducirse, sea para

realizar una pericia electrónica o informática por parte de especialistas en la materia, y, al

momento de presentar esta evidencia en juicio, para que tenga pleno valor procesal.

Como lo indica el autor Michael Meek Neira4, “Se debe tener en cuenta que la información y

los datos informáticos, al encontrarse en la inmaterialidad, almacenados en medios físicos

que funcionan con electricidad, son extremadamente volátiles y, por su esencia, se hace

necesario que todo el proceso que los involucra sea efectivamente documentado”. En el

transcurso del proceso, todos los elementos materiales probatorios, evidencia física y digital

del delito informático, deben contar con un respaldo legal que justifique su presentación en

juicio, a través de sistemas automatizados de información.

3 Meek Neira, Michael, Delito Informático y Cadena de Custodia, Universidad Sergio Arboleda, Bogotá, 2013,

páginas 147 a 150.

4 Meek Neira, Michael, Ibid, pp. 129-158.

59

3.1. Conservación de la evidencia informática

Las plataformas informáticas de los bancos cuentan actualmente con sistemas de detección

de intrusiones externas que funcionan con relativo éxito. En lo posible, los bancos

nacionales han tratado de proteger las cuentas virtuales de sus clientes, a través de

antivirus que actúan en el momento en que se despliegan las páginas del portal bancario y

que suelen actuar como sistemas de bloqueo del pishing o de páginas similares a la original

que hacen reenvío del usuario bancario a otros destinos en la red informática, con la

finalidad de apropiarse de sus datos personales y o claves personales de transacciones.

En cuanto a preservar evidencias de ataques informáticos, cuyas víctimas fueron el banco o

sus clientes, el elemento conocido como IP (protocolo de internet) es sumamente importante

para lograr una ubicación física del servidor o computador desde el cual se perpetró el

ataque informático. Las IP pueden ser fijas o dinámicas conforme al manejo y distribución

que de ellas haga el proveedor de servicios de Internet, por lo cual, la información de

direcciones IP que están almacenadas en las bases de datos de proveedores de servicio de

Internet es un elemento trascendente en la lucha con el cibercrimen. No obstante, conocer la

dirección IP solamente garantiza poder determinar la ubicación del computador o terminal

informática desde la cual se efectuó el ciberataque, pero no nos garantiza que pueda

localizarse la identidad de aquella persona o personas que efectuaron el ciberataque; es por

ello que a este tipo de delitos podríamos denominarlos “sin rostro” en cuanto se refiere a sus

ejecutores informáticos, los auténticos autores del ciberdelito. Los beneficiarios de los

dineros de transferencias no autorizadas por los titulares de cuentas, por lo general son

terceras personas que tiene cuenta en el mismo banco o en un banco diferente, y así como

pueden ser cómplices o ejecutores finales del delito informático al retirar de sus cuentas los

fondos provenientes de la transferencia ilícita, se suscitan muchos casos de gente engañada

y de personas que han “prestado la cuenta” a familiares o amigos de confianza con la

finalidad de recibir dineros supuestamente provenientes de un negocio o de un préstamo

lícitos.

No obstante, como dijimos, una IP puede ser variable debido al volumen de información que

transporta a través de la red. El identificador más exacto de la localización de un terminal

computacional a través de la red, es la dirección MAC (control de acceso al medio) que tiene

48 bits y corresponde de forma única, a una tarjeta o dispositivo de red. Estás direcciones

MAC han sido diseñadas para ser identificadores globales únicos, pero no todos los

60

protocolos de comunicación usan direcciones MAC, y, no todos los protocolos requieren

identificadores globalmente únicos.

En informática y telecomunicaciones, un protocolo de comunicaciones5 es: “Un conjunto

de reglas y normas que permiten que dos o más entidades de un sistema, se comuniquen

entre ellas para transmitir información por medio de cualquier tipo de variación de una

magnitud física. Se trata de las reglas o el estándar que define la sintaxis, semántica y

sincronización de la comunicación, así como posibles métodos de recuperación de

errores”. Los protocolos pueden ser implementados por hardware, software, o una

combinación de ambos.

El protocolo TCP/IP es aquel con el cual las empresas proveedoras de servicios de internet

configuran el acceso a internet en la mayoría de computadoras que utilizan las personas en

general y los clientes bancarios en particular; este protocolo exige que exista una dirección

IP, para poder identificar de forma inequívoca cada ordenador conectado a Internet.

La dirección IP está conformada por cuatro números (cada uno entre 0 y 255, equivalentes

cada uno a un byte) separados por puntos, por ejemplo, la dirección IP: 193.146.27.212;

cada ordenador conectado a Internet se identifica mediante su IP. Estos números son

difíciles de recordar, por ello las empresas proveedoras de Internet utilizan también en la

configuración de acceso a Internet de sus usuarios un “Sistema de Nombres de Dominio”,

DNS (Domain Name System) que permite asignar nombres a las direcciones IP.

Lo anteriormente indicado se refiere a la información que puede ser recolectada de los

proveedores del servicio de Internet en caso de cometerse un delito informático. Los

protocolos de Internet son una forma de lograr conocer algunas veces, no solamente la

localización física del terminal computacional, sino que también permiten obtener datos que

los tiene almacenados la empresa proveedora del Internet, respecto de la persona natural o

jurídica que ha contratado ese servicio de Internet, lo cual muchas veces no nos da la

pista concreta de quién es el ciberdelicuente, de su identidad, porque algunos delitos

informáticos, especialmente los que tienen como resultado el fraude patrimonial, son

perpetrados desde cibercafés (lugares públicos de alquiler de Internet) o, como pasa en la

mayoría de los casos, son perpetrados desde un país extranjero.

5 Rodríguez-Aragón, Licesio, Tema 4, Internet y Teleinformática, Informática Básica, Universidad Rey Juan

Carlos, p. 3: http://www.uclm.es/profesorado/licesio/Docencia/IB/IBTema4.pdf

61

En lo que se refiere a información de transacciones bancarias, la Fiscalía tiene la capacidad

legal de solicitar información sujeta al sigilo y reserva bancario, conforme al actual artículo

354, numeral 1, del Código Orgánico Monetario y Financiero. Las empresas auxiliares de las

instituciones del sistema financiero que les prestan servicios operativos y almacenamiento

de los registros de transacciones de los clientes bancarios, son las llamadas a proporcionar

esta información a los bancos, quienes a su vez, al ser requeridos por alguna fiscalía o

judicatura, por mandato legal deben remitir esa información, para que sea elemento de

convicción dentro de las causas que se estuviesen investigando o juzgando.

Estos registros de archivos informáticos se denominan LOGS o registros lógicos de

información que se almacenan en los servidores informáticos, durante muchos años. La

forma en que se extrae esta información es con programas que permiten cargar y copiar los

archivos almacenados en los servidores, y de ésta manera el perito informático que haya

sido designado por la Fiscalía, puede obtener esta información en medios físicos (memorias

portátiles, cedes) o a su correo electrónico, para su análisis y procesamiento, en archivos

exportables de imagen o Excel.

3.2. Conservación de la evidencia de medios electrónicos.

En cuanto a las evidencias de delitos cometidos en contra del soporte físico de los datos de

información y canales electrónicos, esto es, ataques realizados en contra de cajeros

automáticos de los bancos, la técnica de cadena de custodia recomienda aislar los soportes

físicos en los cuales está contenida esta información (discos duros y memorias de los

cajeros automáticos) a fin de testearlos posteriormente con programas informáticos que

permiten determinar si existió intrusión informática por vía canal electrónico o por medios

físicos externos (discos portátiles, memorias flash, teléfonos celulares, mouses), o si fueron

anuladas las seguridades proporcionadas por los antivirus instalados, con el propósito de

cambiar los códigos de funcionamientos de los cajeros automáticos y obtener información

protegida que permitió al ciberdelicuente hacerse con la misma, para poder posteriormente

venderla a terceros, o, utilizarla para extraer el dinero que reposa en las cartucheras de los

cajeros automáticos.

Los medios electrónicos que utilizan los ciberdelincuentes para ejecutar delitos tales como

el skimming, y que se encuentran insertos como intrusos en cajeros automáticos u otros

canales electrónicos con terminales físicas, deben ser preservados de manera integral al ser

separados de los aparatos en que se hallan incrustados, de tal manera que el perito

62

especialista en electrónica pueda realizar una evaluación de los componentes de este tipo

de mecanismos y llegue a determinar si los mismos son idóneos para la ejecución del delito

que se está investigando.

La investigación pericial debe ser siempre analítica y no solo académica. Los componentes

de un mecanismo de clonación de datos de las bandas magnéticas de tarjetas de crédito o

débito, pueden por supuesto, ser consultados académicamente en varias páginas de

Internet, pero la tarea primordial del perito informático es la de evaluar la funcionalidad del

aparato que ha sido aislado mediante la cadena de custodia, y, verificar si su propósito u

objetivo de causar un daño puede ser ejecutado siguiendo una secuencia determinada de

procesos lógicos.

63

CONCLUSIONES

1.- La delincuencia que utiliza para ejecutar sus fines los medios informáticos y electrónicos

se clasifica de acuerdo al tipo de medio utilizado. La delincuencia informática utiliza o ataca

el software, esto es, los programas informáticos trasmitidos a través de redes y servidores,

mientras que el delito electrónico se caracteriza por los ataques al hardware o medio externo

tecnológico como son los discos duros, discos portátiles, memorias, etc.

2.- El Décimo Congreso de las Naciones Unidas sobre Prevención del Delito y Tratamiento

del Delincuente, llevado a cabo en Viena, del 10 al 17 de abril del 2014, estableció la

existencia de dos subcategorías de delitos cibernéticos: el delito cibernético en sentido

estricto (“delito informático”), que consiste en todo comportamiento ilícito que se valga de

operaciones electrónicas para atentar contra la seguridad de los sistemas informáticos y los

datos procesados por ellos; y, el delito cibernético en sentido lato (“delito relacionado con

computadoras”), que se relaciona con todo comportamiento ilícito realizado por medio de un

sistema o una red informáticos, o en relación con ellos; incluidos los delitos de posesión, el

ofrecimiento o la distribución ilegales de información por medio de un sistema o de una red

informática.

3.- Los delitos patrimoniales que se cometen por medios informáticos en la actual normativa

del Código Orgánico Integral Penal, vigente desde el 10 de agosto del 2014, se clasifican en

delitos que atentan contra el patrimonio, tales como la estafa electrónica y la apropiación

ilícita, o la transferencia no consentida de activos patrimoniales, y, aquellos delitos que

tienen como finalidad el ataque directo y el daño o alteración de los sistemas informáticos y

electrónicos para lograr como finalidad, el apropiamiento de información confidencial, o la

destrucción de los sistemas de software o hardware.

4.- El Código Orgánico Integral Penal, si bien es cierto ha endurecido las penas aplicables a

los delitos en general, mantiene ciertas incongruencias como el caso de la pena que se

aplica al delito de apropiación ilícita por medios informáticos o electrónicos que, revistiendo

gravedad, solo se sanciona con pena privativa de la libertad de uno a tres años, sin tomar en

cuenta que gran parte de los casos de transferencias no autorizadas de fondos desde

cuentas de clientes del sistema financiero nacional, tienen su juzgamiento y sanción con

este tipo penal. La estafa electrónica, siendo un delito patrimonial de igual o menor impacto

en cuanto al resultado, está penada con pena privativa de la libertad de hasta siete años.

64

5.- La información que los clientes de las instituciones del sistema financiero guardan en los

archivos informáticos de éstas, tienen el carácter de confidencial cuando se trata de sus

datos personales, preferencias, lugares de vivienda, trabajo o teléfonos; mientras que, la

información sobre las operaciones y movimientos bancarios de los clientes, así como de

los créditos solicitados por los mismos, está bajo la protección del sigilo y reserva bancaria,

constituyendo un delito la divulgación de esta información, sin perjuicio de las sanciones

administrativas contempladas en el Código Orgánico Monetario y Financiero.

6.- La Teoría del Caso permite trazar estrategias adecuadas para llevar adelante la

acusación o la defensa de una persona en juicio. Sus elementos esenciales son: el fáctico,

el probatorio y el jurídico. La Teoría del Caso tiene que ser lógica, creíble, legalmente

suficiente, y, concreta pero flexible.

7.- Los alegatos de apertura tienen que formular de una manera sucinta, cuáles son los

hechos que van a probarse en el transcurso de la audiencia. Es la historia que va a

demostrarse durante el desarrollo del juicio.

8.- Las proposiciones fácticas permiten el desarrollo del razonamiento lógico en cuanto

establecen el nexo existente entre el hecho fáctico y el sujeto responsable de las acciones

que se investigan.

9.- En el campo probatorio, la evidencia informática surte el mismo efecto que los elementos

de convicción de tipo documental, pero la inmaterialidad de la misma suele hacerla

dependiente de la reproducción a través de medios físicos para que pueda hacerse valer en

calidad de prueba.

10.- La prueba pericial informática y/o electrónica es la prueba técnica más importante

dentro de la investigación de los delitos informáticos o electrónicos, porque permite procesar

e interpretar la información obtenida en ordenadores o sistemas de comunicación, en el

caso de delitos informáticos; así como también interpreta o describe el funcionamiento de

los mecanismos electrónicos, en el caso de los delitos que utilizan o atentan en contra del

hardware o medios externos.

65

11.- Por lo general, el fraude informático constituye un delito “sin rostro”, en el cual se halla

manifiesta la voluntad de engañar y de apropiarse de los bienes o valores del usuario

informático afectado, pero sin que pueda identificarse a priori, quién es el autor material o

intelectual de este tipo de fraudes. En el caso de los delitos de apropiación ilícita por

medios informáticos o electrónicos suele conocerse más bien a aquellas personas que son

beneficiarias de los dineros transferidos fraudulentamente desde las cuentas de los clientes

de las instituciones bancarias, pero estas personas algunas veces resultan haber sido

engañadas por terceros, para prestar sus cuentas a este tipo de maniobras fraudulentas.

12.- La información con la que cuentan las empresas proveedoras del servicio de Internet,

es de importancia fundamental para la investigación penal de los delitos informáticos, pues

estas empresas almacenan los datos correspondientes al tráfico de redes de sus usuarios o

suscriptores, y por lo tanto, a través de la información almacenada en sus sistemas, puede

conocerse el lugar físico desde el cual se efectuó el ataque o intrusión informática y los

datos relativos a la identidad de la persona natural o jurídica que es suscriptora de este

servicio de Internet.

13.- Conocer el lugar físico, la terminal computacional desde la cual se efectuó el ataque o

intrusión informática, es un punto de partida para determinar donde se plasmó la acción del

ciberdelincuente, pero no garantiza poder identificar al autor intelectual o atacante

informático, ya que por lo general, estas personas actúan desde una dirección IP ubicada en

un país extranjero, o bien desde el Ecuador, en una terminal computacional de uso público

(ciber café).

14.- Los hackers son personas expertas en manejo y rompimiento de claves y seguridades

informáticas, y sus motivaciones no siempre corresponden a beneficiarse económicamente

con los dineros de las personas que sufren este tipo de ataque o intrusismo informático.

Algunas veces, la motivación de los hackers puede ser de tipo político o hasta ecológico,

pero en todo hacker siempre se halla presente la motivación de romper con un desafío

establecido por parte de un sistema de seguridad informático, especialmente de aquellos

que presenten gran complejidad.

15.- El hackeo ético constituye una herramienta eficaz para la investigación del ciberdelito y

para la futura prevención de fraudes informáticos, porque permite determinar detalladamente

las debilidades que tuvo el sistema operativo que fue objeto del ataque informatico, así

66

como las huellas o señales que dejó el ataque o intrusismo en los códigos o registros de los

programas que forman parte de la plataforma del sistema, desactivación de los antivirus y

alertas de seguridad, etc. Para el sistema bancario, este tipo de hackeo ético es

fundamental en el fortalecimiento de sus sistemas operativos a través de los cuales sus

clientes realizan transacciones.

16.- De acuerdo a los medios que se utilizan para perpetrar el delito informático o

electrónico, sea a través de programas informáticos o a través de la conexión de medios

externos (discos duros, memorias externas, microchips, micro cámaras), la evidencia debe

ser recolectada para garantizar la mayor fidelidad posible al momento de reproducirse, sea

para realizar una pericia electrónica o informática por parte de especialistas en la materia, y,

al momento de presentar esta evidencia en juicio, para que tenga pleno valor procesal.

17.- La colaboración de las instituciones del sistema financiero en la obtención de la

información de operaciones bancarias, por parte de la Fiscalía, es un pilar fundamental en la

investigación del ciberdelito. Esta información, si bien es de carácter confidencial o

reservada para el público en general, de acuerdo a las disposiciones del Código Orgánico

Monetario y Financiero, puede ser solicitada por fiscales o jueces dentro de una indagación

previa o proceso penal, como elemento de convicción o soporte informático de lo que quiere

probarse.

18.- Los elementos electrónicos que constituyen evidencias de delitos tales como la

clonación de tarjetas electrónicas de débito o crédito de los usuarios bancarios, los

mecanismo del delito denominado SKIMMING, o bien los discos duros o memorias de los

cajeros automáticos afectados por el intrusismo de medios externos (memorias flash,

celulares, mouses, teclados) deben ser convenientemente aislados y clasificados, a fin de

que pueda realizarse un estudio técnico de su funcionamiento.

67

RECOMENDACIONES

1.- Ecuador, a través del Poder Ejecutivo, de la Fiscalía General del Estado, y, de sus

legaciones diplomáticas en organizaciones internacionales, debería propiciar activamente,

una política internacional de alianzas y acuerdos con otros países para el combate de la

ciberdelincuencia originada fuera de sus fronteras, tal como ocurre por ejemplo, con los

países de la Unión Europea. La ausencia de este tipo de tratados hace vulnerable a nuestro

país, cuando el ataque informático es perpetrado desde ciudades de otros países; la sola

cooperación entre fiscalías de los países involucrados en el tema, no representa suficiente

apoyo para el combate al ciberdelito.

2.- Las instituciones del sistema financiero nacional deben invertir los recursos que sean

necesarios para modernizar sus plataformas informáticas de operaciones y

almacenamientos de datos, volviendo así más seguros los sistemas y canales de

comunicación por los cuales se trasmiten las transacciones bancarias. Esta inversión de los

bancos en tecnología, si bien es costosa, redunda en un beneficio de dar seguridad a los

clientes, incrementando su confianza para invertir o depositar sus recursos en el sistema

financiero nacional.

3.- Debe realizarse una activa campaña de educación social sobre el manejo de productos

bancarios que involucren el manejo de redes o canales informáticos o electrónicos, a fin

de procurar una interactuación preventiva banco-cliente, frente a la ciberdelincuencia. No

olvidemos que el delincuente informático busca deliberadamente atacar la parte más

vulnerable de la operación o transacción bancaria, en este caso referida a la información

personal que el cliente bancario tiene sobre su usuario y claves de acceso, tanto al portal

bancario en Internet, como a la utilización de sus tarjeta de débito o crédito en cajeros

automáticos.

4.- Deben crearse protocolos rigurosos de seguridad interna para todos los empleados

bancarios que manejan información de clientes a través de medios informáticos o de

canales electrónicos. Estos manuales o protocolos permiten controlar las actividades

internas de los funcionarios bancarios y determinar la responsabilidad que puede tener cada

uno de ellos en la ejecución de procesos, disminuyendo riesgos. Se han presentado casos

de vulnerabilidad en los llamados Call Centers o centros de información de consulta y

transacciones de clientes, ya que muchas veces no se han tomado las medidas de

68

seguridad suficientes para evitar la fuga de información bancaria a través de una falsa

llamada telefónica.

5.- Las terminales computacionales de los empleados bancarios deben tener un control que

permita su funcionalidad exclusiva para las tareas que son asignadas y no permitir que

puedan ser utilizadas en actividades diferentes a su finalidad, menos aún para la recreación

del empleado bancario. El Internet es una potencial fuente de intrusismo informático y junto

con el correo electrónico, es el medio por el cual los ciberdelincuentes pueden perpetrar

ataques a las redes informáticas bancarias. Este control incluye un sistema de apagado

automático de las computadoras que estén funcionando fuera del horario de trabajo, por

descuido u olvido de apagarlas del funcionario a cargo de la terminal computacional.

6.- La Fiscalía debe propiciar una investigación altamente científica de los delitos cometidos

a través de medios informáticos o electrónicos. Esto significa que no debe solamente

privilegiarse la indagación penal por el hecho de existir un resultado patrimonial dañoso para

un sujeto, sino que deben estudiarse pormenorizadamente los indicios del intrusismo

informático y electrónico para poder determinar en qué campos se enfoca el ciberdelito. No

pueden por tanto desestimarse las indagaciones previas que se inician por tentativa de

delitos informáticos o electrónicos, por el solo hecho de que no produjeron un resultado

económico para la víctima del delito, al haber sido frustrados, porque el solo hecho de que el

delincuente informático logre introducirse a la redes de Internet o a los canales de

comunicación electrónica de los cajeros automáticos, genera grave alarma social general,

porque evidencia vulnerabilidad de estos sistemas. Por ende, las situaciones de amenaza o

peligro deben ser seriamente investigadas y no únicamente las de resultado de daño

patrimonial, ni aún con el pretexto de invocar el artículo 22 del Código Orgánico Integral

Penal (conductas penalmente relevantes).

7.- Los peritos informáticos o electrónicos que se acreditan ante el Consejo de la Judicatura,

deben capacitarse o ser capacitados en la utilización de un adecuado lenguaje jurídico

procesal, cuando expresan conclusiones u observaciones en sus informes técnicos que van

dirigidas al conocimientos de los abogados de las partes, de las fiscalías y de los jueces, ya

que la costumbre usual es que el informe técnico de los peritos analice los eventos,

procesos y/o mecanismos de la comisión de un delito informático, en un lenguaje que solo

ellos podrían conocer e interpretar, pero que no se traduce al final del trabajo pericial en

conclusiones enlazadas con los hechos fácticos que se han investigado por parte de la

69

Fiscalía, produciendo esta situación dificultad en la interpretación y procesamiento de la

información del informe pericial que deben hacer los jueces y fiscales dentro de la

indagación previa o del proceso penal.

8.- No basta con la prescripción del artículo 500 del Código Orgánico Integral Penal respecto

al manejo de la información digital. Debe crearse legalmente un procedimiento completo y

adecuado para la debida extracción y conservación de la evidencia informática y electrónica

en la cadena de custodia, procedimiento que debe obedecer a la misma rigurosidad con la

cual se recolecta, se inventaría y se almacena la evidencia física en otro tipo de delitos. Este

manual de procedimientos para el procesamiento de la evidencia informática y electrónica

debe incluir la manera en que el usuario informático afectado por un ciberdelito deba

proceder para evitar que se pierdan o se destruyan los indicios o elementos de convicción

que se encuentran en su poder (por ejemplo, tarjetas electrónicamente clonadas) o en un

soporte virtual que le pertenezca (correo electrónico, casos de pishing).

9.- El combate contra la ciberdelicuencia debe constituirse en una política de estado que

involucre la participación de entidades públicas, privadas, y de la ciudadanía en general, a

fin de reducir la incidencia de los ataques y aumentar las medidas de seguridad frente al

“ciberdelincuente oculto”. La visión de esta política estatal debe estar encaminada, no a

coartar la libertad de expresión en las redes sociales de Internet, sino a garantizar la

seguridad de los ciudadanos en el libre tráfico informático, tanto en lo referente a sus datos

personales e información confidencial, como en la seguridad de sus trámites, operaciones y

transacciones públicos o privados, incluidos los bancarios. No puede esperarse únicamente

que sean los bancos quienes respondan económicamente cada vez que los usuarios del

sistema bancario son afectados por delitos informáticos o electrónicos, muchas veces

facilitados por su propio accionar imprudente, como por ejemplo, cuando proporcionan

información personal y confidencial de su usuario y claves de acceso a su cuenta virtual en

Internet, o datos de su tarjeta de crédito o débito.

10.- Deben establecerse normas más claras y precisas relativas al manejo o consumo de

bienes y servicios informáticos o electrónicos por parte del usuario o consumidor,

especialmente en lo referente a las transacciones que se realizan por vía internet o a través

de canales electrónicos; para ello se precisa una reforma a la Ley Orgánica de Defensa del

Consumidor y a la Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos.

Si se establecen responsabilidades claras por el manejo negligente o mal manejo de este

70

tipo de productos informáticos o electrónicos, el usuario o consumidor tratará de obrar con

mayor cuidado y se disminuirá el riesgo y el impacto de los delitos informáticos o

electrónicos que tienen como finalidad la apropiación del patrimonio o dineros de las

personas.

11.- Debe proponerse una urgente reforma del artículo 190 del Código Orgánico Integral

Penal en lo referente a la pena aplicable a los delitos de apropiación ilícita por medios

informáticos o electrónicos, pues, por la gravedad que estos revisten deberían sancionarse

con una pena similar a la existente para la estafa cometida a través de medios informáticos

o electrónicos (artículo 186, numerales 1 y 2 del Código Orgánico Penal Integral) o por lo

menos con la misma sanción que existía para la apropiación ilícita en los artículos 553.1 y

553.2 del Código Penal que estuvo vigente hasta el 9 de agosto del 2014, esto es, con

penas de hasta 5 años de privación de libertad. La pena actual de 1 a 3 años de privación

de la libertad, alienta a los ciberdelincuentes a obrar con mayor agresividad, por cuanto la

sanción que recibirían en caso de ser descubiertos es mínima en relación al daño que

causan.

71

BIBLIOGRAFÍA

1.- Aboso, Gustavo Eduardo, La Nueva Regulación de los llamados Delitos Informáticos en el

Código Penal Argentino: Un estudio comparado, Santa Fe, Argentina, Editorial Rubinzal-

Culzoni, 2010.

2.- Aguirre Torres, Marco Boris, El Fiscal y su rol en el sistema Acusatorio Oral, Loja, Ecuador,

Editorial Indugraf, 2012.

3.- Azaola Calderón, Luis, Delitos Informáticos y Derecho Penal, Editorial Ubijús, México, 2010.

4.- Azaustre Fernández, María José, El Secreto Bancario, Bosch Editor, Barcelona, España, 2001.

5.- Azuero Rodríguez, Sergio, Contratos Bancarios, quinta edición, Editorial Legis, 2005.

6.- Baigún, David, director, Delincuencia Económica y Corrupción: su prevención penal en la Unión

Europea y el Mercosur, Buenos Aires, Editorial Ediar, 2006.

7.- Binder, Alberto, Derecho Procesal Penal, Buenos Aires, Editorial Ad-Hoc, 2013.

8.- Bricola, Franco, Teoría General del Delito, Editorial B de F, Buenos Aires, 2012.

9.- Cairoli Martínez, Milton Hugo, Cervini Raúl, Aller German, Nuevos Desafíos en el Derecho Penal

Económico, Tomo I, editorial B de F, Buenos Aires, 2012.

10.- Camacho Herold, Daniela, y Flor Rubianes, Jaime, Las presunciones como fundamento para

dictar una sentencia de condena, Quito, Corporación de Estudios y Publicaciones, 2009.

11.- Carrera Daniel, Pablo, director, Derecho Penal de los Negocios, Buenos Aires, Editorial Astrea,

2004.

12.- Chamorro López, Beyker, Teoría del Caso, Práctica de Derecho Procesal Penal, UPLA, Lima,

2012.

72

13.- Corporación de Estudios y Publicaciones, Legislación Penal (Código Penal y Código de

Procedimiento Penal) actualizados al mes de noviembre del 2013.

14.- Corporación de Estudios y Publicaciones, Código Orgánico Integral Penal, actualizado al mes

de agosto del 2014.

15.- Corporación de Estudios y Publicaciones, Código Orgánico Monetario y Financiero, septiembre

del 2014.

16.- Cuestaguado Paz, Mercedes de la, Sociedad Tecnológica y Globalización del Derecho Penal,

Mendoza, Argentina, Ediciones Jurídicas Cuyo, 2003.

17.- Donoso Castellón Arturo, Delitos contra el Patrimonio y contra los recursos de la

Administración Pública, Quito, Editora Jurídica Cevallos, 2008.

18.- Espitia Garzón, Fabio, Instituciones de Derecho Procesal Penal, octava edición, Editorial Legis,

Bogotá, 2011.

19.- Flores Prada, Ignacio, Criminalidad Informática, Aspectos Sustantivos y Procesales, editorial

Tirant Lo Blanch, Valencia, España, 2012.

20.- García Falconí, José, La Etapa del Juicio: La Audiencia de debate, la prueba y la sentencia en

el Nuevo Código de Procedimiento Penal, Quito, Ediciones Rodín, 2002.

21.- García Falconí, Ramiro, Código Orgánico Integral Penal comentado, Tomo I, Ada Editores,

Lima Perú, 2014.

22.- Jiménez Martínez, Javier, El Aspecto Jurídico de la Teoría del Caso, Editorial Ángel, primera

edición, México, 2012.

23.- Marchena Gómez, Manuel, Prevención de la Delincuencia Tecnológica, Navarra, España,

Editorial Arazandi, 2001.

24.- Mata y Martín, Ricardo, Delincuencia Informática y Derecho Penal, Edisofer, Madrid, 2001.

73

25.- Meek Neira, Michael, Delito Informático y Cadena de Custodia, Universidad Sergio Arboleda,

Escuela de Derecho, Departamento de Derecho Penal, primera edición, Bogotá, 2013.

26.- Muñoz Conde, Francisco, Derecho Penal Parte Especial, Valencia, España, décimo séptima

edición, Editorial Tirant Lo Blanch, 2009.

27.- Osorio y Nieto, César Augusto, Teoría del Caso y Cadena de Custodia, Editorial Porrúa,

México, 2011.

28.- Páez Rivadeneira, Juan José, Derecho y Nuevas Tecnologías, Quito, Corporación de Estudios

y Publicaciones, 2010.

29.- Palazzi, Pablo, Delitos Informáticos, Editorial Ad-Hoc, 2000.

30.- Reyna Alfaro, Luis Miguel, La Problemática de la Victima en el Derecho Penal, Reflexiones a

Propósito de la Criminalidad Informática, Mendoza, Argentina, Ediciones Jurídicas Cuyo,

2003.

31.- Riofrío Martínez-Villalba, Juan Carlos, La Prueba Electrónica, Editorial Temis, Bogotá,

Colombia, 2004.

32.- Riquert, Marcelo Alfredo, Derecho Penal Económico y Delincuencia Informática, Córdova,

Argentina, Editorial Mediterránea, 2006.

33.- Rodríguez-Aragón, Licesio, Tema 4, Internet y Teleinformática, Informática Básica,

Universidad Rey Juan Carlos, página 3, documento en Internet que consta en la dirección

web http://www.uclm.es/profesorado/licesio/Docencia/IB/IBTema4.pdf.

34.- Rodríguez Mourullo, Gonzalo, Derecho Penal e Internet, Madrid, Editorial La Ley, 2002.

35.- Rovira del Canto, Enrique, Delincuencia Informática y Fraudes Informáticos, Granada, España,

Editorial Comares, 2002.

36.- Roxín, Claus, Autoría y Dominio del Hecho en Derecho Penal, Madrid, Editorial Marcial Pons,

2000.

74

37.- Salamea Carpio, Diego, El Delito Informático y la Prueba Pericial Informática, Editorial Jurídica

del Ecuador, Quito, 2013.

38.- Salinas Siccha, Ramiro, Delitos contra el Patrimonio, Lima, editorial Grijley, 2010.

39.- Schiavo, Nicolás, Valoración Racional de la Prueba en Materia Penal, Editores del Puerto,

Buenos Aires, 2013.

40.- Sigüenza Bravo, Marco y Sigüenza Rojas, Juan Diego, Principios Rectores del Derecho Penal,

Casa de la Cultura Ecuatoriana “Benjamín Carrión” Núcleo del Cañar, Ecuador, 2012.

41.- Stratenwerth, Günter, Derecho Penal, Parte General, El Hecho Punible, Madrid, Editorial

Thomson Civitas, 2005.

42.- Thomson Reuters Arazandi, Delincuencia Informática, Tiempos de Cautela y Amparo,

Monografía de Doctrina, primera edición, Pamplona, España, 2012.

43.- Tomeo Fernando, Redes Sociales y Tecnologías 2.0, segunda edición, editorial Astrea, Buenos

Aires, 2014.

44.- Valdivieso Arias, Luis Felipe, Seminario: Litigación Oral en Materia Penal, Universidad Técnica

Particular de Loja, primera edición, 2012.

45.- Welzel, Hans, Derecho Penal Alemán, Santiago de Chile, Editorial Jurídica de Chile, 2011.

46.- Zabala Baquerizo, Jorge, El Debido Proceso Penal, Quito, Editorial Edino, 2002.

47.- Zambrano Pasquel, Alfonso, Estudio Introductorio al Código Orgánico Integral Penal, tomos I, II

y III, Corporación de Estudios y Publicaciones, Quito, 2013.

48.- Zárate Barreiros, Milton Gustavo, Manual de Investigación Criminalística Básica, Universidad

Técnica Particular de Loja, primera edición, Loja, 2013.