Robo de identidad
Primera Parte
Daniel Monastersky
Juan Matías Salimbeni
I. Introducción [arriba]
El gran desarrollo que ha tenido Internet a nivel global en los últimos años ha permitido que se extienda ampliamente el denominado “Robo de Identidad”.
Más allá que este tipo de modalidad delictiva se ha visto incrementada significativamente desde el uso masivo de la red de redes, la misma ya existía aunque a un nivel muy inferior.
Al respecto, puede afirmarse que no existe un único y homogéneo concepto de Robo de Identidad; sin embargo, de todas las conceptualizaciones existentes, pueden observarse determinados elementos comunes. En términos generales el robo de identidad tiene lugar cuando una persona utiliza la información personal de otro individuo para realizar compras, solicitar préstamos, obtener un trabajo; en definitiva: hacerse pasar por alguien que realmente no es.
Podemos adelantar que esta clase de hechos produce al menos dos efectos perjudiciales para quien lo padece. Una de las consecuencias directas es para quien le están usando los datos personales (cuentas bancarias, bienes, datos de contactos, etc.); y otra u otras, respecto de las cuales actúan como consecuencia directa del error en que se ven envueltas y brindan información, disponen de bienes o realizan toda clase de hechos que, de no haber caído en error, no hubieran actuado.
Ahora bien, tanta divulgación y extensión han tenido esta clase de hechos que en los últimos años gran cantidad de países ha ido adecuando su legislación a fin de prevenir y sancionar este tipo de modalidades delictivas.
Al efecto, cabe mencionar que en todo proceso histórico, la formación y sanción de las normas jurídicas siempre se despliega a una velocidad muy inferior al que se desarrolla la tecnología. El derecho siempre va un paso atrás de la realidad justamente porque su finalidad es prevenir y sancionar situaciones ya existentes.
Los “hechos” como es el caso del uso masivo de Internet y, en particular la facilidad que ha generado para que se desarrolle con mayor facilidad el Robo de Identidad, son los que primero tienen lugar en toda sociedad en cuanto a su aparición. Luego, con el desarrollo de los mismos, empieza a producirse una valoración en cuanto a los efectos y derivaciones que van suscitando en la vida cotidiana de la sociedad. Estas valoraciones negativas y/o positivas, sólo posibles luego de la experiencia fáctica, son las que va generando la conciencia y necesidad de establecer una regulación específica y determinada para controlar y prevenir los posibles efectos colaterales derivados del uso de lo que se considera “nuevo”. Esto es lo que ha sucedido en los últimos años por la inmensidad de casos que se han generado consecuencia de la usurpación de identidad.
En este orden de ideas puede afirmarse sin temor a equívoco que el Robo de Identidad es el delito de más rápido crecimiento en el mundo. Hasta no hace mucho tiempo, cuando a una persona le sustraían la billetera, el dinero era lo único que se pretendía. En los últimos años eso ha ido cambiando. Ahora lo más valioso es el número de su documento, tarjeta de crédito, débito, cheques y cualquier otro documento que contenga sus datos personales. La apropiación indebida ahora es un medio y no un fin en sí mismo.
Hoy en día el delincuente estudia bien a sus víctimas. El solo hecho de contar con un documento no es suficiente para usurpar su identidad. Se requiere de cierta pericia para obtener información complementaria de la victima que asegure el éxito en la maniobra delictiva. Además de un DNI adulterado, la factura de algún servicio público y un recibo de sueldo, en muchos casos es necesario contar con la connivencia de un empleado de la empresa que se pretende estafar.
En la Ley de Habeas Data (25.326)[1] definen al dato personal como información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables¨. Datos como el nombre, apellido, domicilio, numero de documento, clave de identificación tributaria y demás información personal, son utilizados por ejemplo al darse de alta en un servicio, al solicitar una tarjeta de crédito o débito, al abrir una cuenta corriente, etc. Asimismo, existe una categoría especial de datos personales que incluyen información vinculada al origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la afiliación sindical y el tratamiento de datos relativos a la salud o la vida sexual. Esta categorización meramente ejemplificativa surge de la propia legislación argentina que regula la protección de aquellos datos y los ubican en la categoría de datos sensibles.
Como puede observarse, el legislador estableció con buen criterio un concepto amplio cuando expresa “cualquier tipo” de información; para evitar cualquier interpretación restrictiva que limite el contenido del concepto.
El Dr. Pablo Palazzi[2] lo definió en un documento presentado en 2007 ante la ADACSI (Asociación de Auditoría y Control de Sistemas de Información) expresando que: “El robo de identidad debe su nombre al término inglés identity theft con el cual se quiere expresar la situación en la que se encuentra una persona cuando un tercero ha obtenido crédito, abierto cuentas o adquirido bienes y servicios a su nombre mediante apropiación de datos, informaciones o documentos.”
II. Modalidades del Robo de Identidad [arriba]
El robo de Identidad es un delito que afecta a todas las capas sociales y no hace discriminación alguna. Desde un banquero al que le robaron el DNI y que sufrió graves problemas de estafa hasta un obrero; o bien un estudiante que le negaron la entrada a EEUU por haber tenido en otra oportunidad un inconveniente judicial cuando en realidad jamás había salido de la Argentina.
Existen distintas clases de Robo de Identidad. Nosotros nos referiremos a las más frecuentes.
Online
Decimos captación o apropiación indebida de datos como un genérico de lo que se conoce como “robo de identidad”.
El phishing es el término que se utiliza para identificar a una modalidad de robo de identidad digital que utiliza técnicas de la ingeniería social para obtener información sobre la víctima y hacerla caer en la trampa. Es el arte del engaño en su máxima expresión. En la modificación del Código Penal del 2008 que incluyó a los delitos informáticos, el phishing esta descripto como un tipo de estafa informática.[3]
Al phishing, se lo define como la capacidad de duplicar un sitio web para hacerle creer al visitante que se encuentra en la página original del banco o entidad.
El visitante o usuario de la entidad bancaria creerá que es la página verdadera del banco y hará la transacción de modo usual, sin saber que en realidad lo que está haciendo es darle sus datos y claves a los delincuentes. El enlace falso, en la mayoría de los casos, le llega al damnificado a través de un correo electrónico no solicitado.
Existen diferentes maneras de obtener los números de las tarjetas de crédito. Estos se ponen a disposición en la red y el valor de esa información depende de diferentes factores.
Este negocio online está muy bien estructurado. Existen vendedores, intermediarios y compradores. Estas mafias están formadas, en su gran mayoría, por personas que tienen como centro de operaciones países de la ex unión soviética.
Las empresas hacen grandes esfuerzos en advertir a sus clientes para que tomen recaudos, pero este sistema registra una curva delictiva ascendente y no reconoce fronteras.
Una encuesta del Identity Theft Resource Center de los EEUU advirtió sobre un incremento del 78% de los montos denunciados por Robo de Identidad entre 2004 y 2006.
En Argentina, si bien no existen estadísticas oficiales, el incremento de las denuncias pone de manifiesto una realidad en pleno auge.
El smishing se practica en forma similar al phishing pero con la particularidad de que se realiza mediante la utilización de teléfonos celulares: en mensajes de texto a usuarios de celulares que simulan provenir de entidades y se los incita a enviar sus datos personales para participar en promociones o actualizaciones de datos o trasferencias. Los estafadores captan de inmediato los datos personales esenciales y comienzan a operar con ellos.[4]
Otra modalidad muy usada en la industria bancaria es la que se da en los cajeros automáticos o ATM. El ardid más utilizado es cuando el delincuente coloca un dispositivo que traba y/o retiene la tarjeta del usuario cuando la ingresa o le copia la banda magnética para futuros ilícitos.
Por eso es que se recomienda:
1) no usarlos en horas y días inhábiles o feriados;
2) no recibir ayuda de personas extrañas al momento de las extracciones o consultas;
3) jamás compartir la clave o PIN con extraños;
4) en caso de retención de la tarjeta comunicarse en forma inmediata con el banco y/o con la empresa emisora de la misma, a los teléfonos que se encuentran en los cajeros;
5) verificar que no existan objetos extraños en la ranura, y en su caso extraerlos;
6) cambiar la clave periódicamente.
Otra modalidad informática del robo de identidad es el denominado “pharming”.
El “pharming”, es un “phishing” avanzado y más difícil de detectar. A través de un “troyano” (software espía malicioso) se modifica un archivo que administra la asignación de nombres de dominio. Técnicamente se lo llama envenenamiento de los DNS, que son los encargados de asignar un numero IP a una dirección de Internet. Por ejemplo, la dirección IP de Facebook es 69.63.186.36. Lo que hace el pharming es ir a una dirección IP diferente cuando tipean www.facebook.com. Es decir que cuando alguien quiere ingresar al sitio de su banco, escribe la dirección correcta, pero termina en otra similar y sin darse cuenta ingresa todos sus datos en una página apócrifa.
Una tercera técnica para obtener información de un usuario de Internet es a través de programas llamados “keylogger”, que se instalan generalmente en computadoras de uso público, y transmiten al ladrón de identidad todo lo que el usuario escriba en esa computadora infectada. En este aspecto, los denominados “screen scrapers” son otra modalidad parecida porque registran todas las imágenes que el usuario ve en el monitor. En general, estos programas son activados cuando se ejecuta un archivo que ha llegado a la casilla de correo desde un remitente desconocido.[5]
Pero no todos los hechos delictivos de Robo de Identidad se realizan exclusivamente por Internet. Ello pues, en una nota publicada en un diario digital de Puerto Rico[6] durante el mes de febrero de 2010, se informa que la ASC (empresa privada que administra el Seguro de Responsabilidad Obligatorio en aquel país) manifiesta una aparente modalidad para obtener información personal de los ciudadanos la cual podría conducir al robo de identidad o posibles actos de extorsión a través del teléfono.
Así, expresan que habían recibido llamadas de parte de ciudadanos que alegan haber sido contactados de un determinado número telefónico donde la persona que genera la llamada, se identifica como un empleado del seguro obligatorio.
Bajo el pretexto que se está procesando una reclamación para el seguro obligatorio, la persona comienza a solicitar información personal de la víctima y así obtener la mayor cantidad de aquellos datos sensibles y personales.
La última novedad en cuestión de robo de identidad, luego de la falsificación de DNI y captura de datos que circulan por Internet, tiene como blanco los teléfonos celulares, que son de uso cada vez más masivos. A junio de 2009 se estimaban que la cantidad efectiva de líneas en funcionamiento estaría en el orden de los 33 a los 35 millones en Argentina.[7]
En este sentido, Leonardo Schiano[8] comenta que “con el crecimiento exponencial de la circulación de mensajes de texto (SMS, por su siglas en inglés) —en 2006 se enviaron unos 5.300 millones de mensajes por mes mientras que en 2005 habían sido solo 2.000 millones por mes—los teléfonos celulares se han convertido también en un bocado apetecible para los delincuentes informáticos. A través de la técnica llamada “SMIshing”, el usuario recibe un mensaje de texto en el que se le solicita que ingrese en una página apócrifa de Internet para, por ejemplo, renovar datos de las cuentas que tiene en el banco. En otros países, esta modalidad está haciendo estragos porque la gente todavía no desconfía de los SMS y no toma recaudos. También puede ocurrir que mediante un SMS le pidan que llame a un determinado número telefónico. Allí, habitualmente es atendido por una voz grabada que simula ser de una entidad de confianza que le solicita sus datos personales. En estos casos nunca hay que dar datos por teléfono. Ninguna entidad financiera seria solicitaría de esa forma algo tan valioso”.
Asimismo y sólo a efectos enunciativos, también podemos detallar otras de las modalidades delictivas que se nutren del robo de identidad:
- Ciberbulliying o ciberacoso: es el uso de información electrónica y medios de comunicación tales como correo electrónico, mensajería instantánea, mensajes de texto, blogs, teléfonos móviles, buscas, y websites difamatorios para acosar a un individuo o grupo, mediante ataques personales u otros medios, y puede constituir un delito informático. El ciberacoso es voluntarioso e implica un daño recurrente y repetitivo infringido a través del medio informático.
- Grooming: Consiste en acciones deliberadamente emprendidas por un adulto con el objetivo de ganarse la amistad de un menor de edad, al crearse una conexión emocional con el mismo, con el fin de disminuir las inhibiciones del niño y poder abusar sexualmente de él.
En Argentina, si bien no existen datos oficiales, los casos de robo de identidad vienen incrementándose en los últimos 5 años. Este aumento en los incidentes tiene una relación directa con la masificación en el uso de las nuevas tecnologías.
III. Argentina [arriba]
Al igual que lo que sucede en América Latina, Argentina no es ajena al padecimiento de estas acciones delictivas.
En los últimos años, la cuestión tendiente a tomar medidas desde el ámbito público y gubernamental comenzó a tener cada vez más énfasis a partir de la cantidad de casos que comenzaban a denunciarse.
Si bien en un comienzo no se le daba trascendencia, fue hasta en febrero del año 2006 donde se tuvo conocimiento del primer caso de un objetivo nacional, el cual se denominó ¨phishing criollo¨. El caso era un email enviado masivamente donde se invitaba al cliente de un determinado banco privado a actualizar los datos de su cuenta de home banking, debido a la existencia de un problema con la seguridad del mismo.
Asimismo y, de acuerdo lo informado por la Procuración General de la Nación, durante 2005 se registró en todo el año un aumento considerable de delitos relacionados con la falsificación o uso de documentos destinados a acreditar la identidad. Y a esto habría que sumarle una cantidad enorme de casos que no son denunciados. Sólo algunas precauciones y cuidados pueden mantener a los usuarios a. resguardo de estos modernos delincuentes de guante blanco.
En 2006, el robo de información en los correos electrónicos del periodista Daniel Santoro, del juez Daniel Rafecas y del senador José Pampuro, instaló en la agenda pública la necesidad de cubrir el vacío legal que existía en el Código Penal frente a los delitos informáticos. A las denuncias presentadas por esos casos se sumaron otros dirigentes que se confesaron víctimas de maniobras similares, como el ministro de la CSJN Eugenio R. Zaffaroni y el ex Jefe de Gobierno Porteño Aníbal Ibarra. Es así que, en Octubre de 2006, la Cámara de Diputados aprobó por unanimidad un proyecto que por primera vez fijaba sanciones específicas para los delitos cometidos mediante el uso de la informática; y con el objetivo de otorgar a los jueces una facultad que les permitiera perseguir, investigar y castigar a los autores de aquellas maniobras.[9]
Cada vez más frecuente era el interrogante por qué la violación de una cuenta de correo electrónico no era sancionada ni castigada penalmente, si se la asimilaba a la correspondencia epistolar.
Con buen criterio los magistrados argumentaban que, al no estar expresamente previsto como tipo penal el acceso indebido al correo electrónico de otra persona, ellos carecían de facultades persecutorias a los delincuentes informáticos. Esta argumentación se centraba en torno al principio de legalidad sustantivo previsto en el artículo 18 y 19 de la Constitución Nacional.
Este principio implica la prohibición de la ley ex post facto. Se refiere a que un hecho sólo puede ser castigado y sancionado si, previamente a realizarlo, existe una ley que así lo establezca. En otras palabras, este principio impide que alguien sea penado por un hecho que, al tiempo de su comisión, no era delito o no era punible; como así también impedir que quien cometa un delito se le aplique una pena más grave que la legalmente prevista al tiempo de su comisión.
Es así que, finalmente, en 2008 se sancionó la Ley N° 26.388, tan esperada y necesaria, la cual consistió en una reforma de actualización, modificando algunos artículos del Código Penal. Sin embargo, la denominada “Ley de Delitos Informáticos” no contempló la incorporación del delito de Robo de Identidad.
Esta modalidad delictiva no está tipificada en nuestro ordenamiento jurídico. Esa es una de las razones por las que este delito crece día a día. Cuando una persona sufre el robo de su identidad debe realizar la denuncia pertinente en la justicia o la policía. En muchas ocasiones, al no considerarlo una violación a la norma, esta tarea se vuelve dificultosa y muchos optan por desistir en el intento. La misma, en cambio, sí prospera si se la radica por estafa, adulteración o falsificación de documento público. En estos casos el Estado es parte por ser quien expide el DNI y corresponde la intervención de la justicia federal. Cuando este delito va unido a la estafa, se suscita una cuestión de competencia de antigua data entre el fuero federal y el ordinario. La Corte Suprema resolvió esta cuestión hace varios años diciendo que hay una sola conducta, una estafa mediante la utilización de un documento adulterado. El bien jurídico tutelado es la fe pública.
Según datos que surgen de la empresa de informes comerciales Equifax-Veraz, se denuncian un promedio de 130 casos de robo de identidad por mes en nuestro país (datos del año 2006).
El robo de identidad genera un mínimo de 500 millones de pesos de pérdidas anuales a las entidades financieras y comerciales en la Argentina, según cifras extraoficiales. Esta cifra no tiene en cuenta ni los costos de la entidad en los intentos por cobrar lo adeudado, ni los de la víctima que debe interponer cartas documentos y abogados para demostrar que no realizó las operaciones impagas que le imputan.[10]
En noviembre de 2009 fue presentado el nuevo DNI argentino. Una de las críticas que se le hacía al anterior ejemplar era su vulnerabilidad, su facilidad para adulterarlo y la obligación de utilizarlo para la realización de trámites en diferentes organismos. Este nuevo documento único consta de dos soportes, DNI Libreta y DNI Tarjeta. El DNI tarjeta contiene la extracción exacta de los datos de identificación del DNI en su formato libreta.
El DNI tarjeta, es considerado a todos los efectos Documento Nacional de Identidad, salvo para votar, lo que deberá hacerse únicamente con DNI Libreta o el DNI anterior o la Libreta Cívica o Libreta de Enrolamiento.
El DNI Tarjeta tiene el mismo valor identificatorio que el DNI Libreta, y podrá ser utilizado para la realización de todos los actos públicos y privados, tales como trámites bancarios, migratorios, gestiones ante entidades financieras, comerciales, de la seguridad social, etc.[11]
Mientras convivan ambos ejemplares el robo de identidad seguirá en aumento. A medida que se vayan renovando los documentos por los nuevos recién podremos hablar de una acción clara y tendiente a minimizar esos hechos.
Existen en Argentina pocos proyectos de Ley tendientes a tipificar el Robo de Identidad como delito. Es que resulta difícil la tipificación de una conducta que en sí misma pareciera ser inofensiva dado que no cuenta con el grado de conscientización social negativa; sino cuando mediante el empleo de una falsa identidad se cometen otros ilícitos de índole patrimonial, moral y/o de seguridad nacional entre otros.
La falta de esa “conscientización” a la que nos referimos no sólo se vislumbra a nivel general, sino también dentro de la propia esfera dogmática de los especialistas en derecho penal atento a que se trataría de un acto preparatorio de otro delito (y por ende no punible) o bien, un delito abstracto cuya legalidad siempre se cuestiona por carecer justamente de lesividad concreta como así lo establece el principio contenido en el artículo 19 de la Constitución Nacional Argentina.
Es por eso que sólo referenciaremos un proyecto que a nuestro entender nos resulta más ajustado a nuestro orden constitucional.[12]
Este proyecto se limita a criminalizar el “Robo de Identidad DIGITAL”, incorporando el Art. 139 Ter al Código Penal disponiendo:
“Articulo 1. Incorpórese el art. 139 ter. del Código penal que quedará redactado de la siguiente manera: "Será reprimido con prisión de 6 meses a 3 años el que adoptare, creare, apropiare o utilizare, a través de Internet, cualquier sistema informático, o medio de comunicación, la identidad de una persona física o jurídica que no le pertenezca.
La pena será de 2 a 6 años de prisión cuando el autor asumiera la identidad de un menor de edad o tuviese contacto con una persona menor de dieciséis años, aunque mediare su consentimiento o sea funcionario público en ejercicio de sus funciones."
Como puede observarse se trata de un delito de peligro abstracto y ello impide que, el Robo de Identidad resulte impune cuando se utilice para cometer otras acciones lesivas, justamente por tratarse de un acto preparatorio y, por ende, impune.
Entendemos que, de ser aprobado por la Legislatura Nacional, y a efectos de impedir futuros planteos de inconstitucionalidad, es que podría resultar conveniente que el “Robo de Identidad” en lugar de constituir un tipo penal autónomo sea un agravante de otros delitos ya tipificados como por ejemplo la estafa, la defraudación, el acoso de menores, la violación de sistemas de seguridad, entre otros.
Fin de la primera parte.
-----------------------------------------------------
[1] Ley 25.326 – Protección de Datos Personales. Sancionada: Octubre 4 de 2000. Promulgada Parcialmente: Octubre 30 de 2000.
[2] www.adac si.org.ar/files/es/content/ 234/Robo%2520de%2520I dentidad.ppt+que+es+el+robo+de+identidad&cd=6&hl=es&ct=clnk&gl=ar – 01/04/2010
[3] Código Penal Argentino, Título VI “Delitos Contra la Propiedad”, art. 173 inc. 16.
[4] Martín Dinatale, Alejandra Gallo, Damián Nabot “LAS MANOS EN LA DATA. Usos y Abusos de la Información Pública”, Ed. Minigraf, Pcia. De Bs. As., 2008, pág. 144
[5] www.rdselecciones.com/contenido/a206 / 05/04/2010
[6] htttp://www.primerahora .com/diario/noticia/otras_panorama/noticias/al ertan_de_nueva_modalidad_de_robo_de_identidad/368480 / 05/04/2010
[7] http://infote hnology.com./notas/198542-el-mercado-argentino-celula res-vuelve-tomar-impulso 02/04/2010
[8].www.rdselec ciones.com/contenido/a206_+modalidades+del+robo+de+identidad&cd=14&hl=es&ct=clnk&gl=ar / 07/04/2010
[9] Martín Dinatale, Alejandra Gallo, Damián Nabot “LAS MANOS EN LA DATA. Usos y Abusos de la Información Pública”, Ed. Minigraf, Pcia. De Bs. As., 2008, pág. 144
[10] http://www.26 noticias.com.ar/q uien-es-la-chica-22229.html / 07/04/2010
[11] http:www.nue odni.gov .ar / 30/03/2010
[12] MODIFICACION DEL CODIGO PENAL: INCORPORACION DEL ARTICULO 139 TER, SOBRE ROBO DE IDENTIDAD DIGITAL. Expte. Nº 4643-D-2010, Trámite Parlamentario Nº 084 (28/06/2010)
|