Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Cybercrime in Colombia How Efficient Has The Computer Crime Law BeenRevista Criminalidad
Cybercrime in Colombia How Efficient Has The Computer Crime Law BeenRevista Criminalidad
368
Para citar este artículo / To reference this article / Para citar este artigo: Rincón, J., Quijano, A., Castiblanco, S., Urquijo, J., &
Pregonero, Y. (2022). Ciberdelincuencia en Colombia: ¿qué tan eficiente ha sido la Ley de Delitos Informáticos? Revista Criminalidad,
64(3), 95-116. https://doi.org/10.47741/17943108.368
Resumen
Este documento está centrado en determinar qué variables de determinar la relación de estos dos delitos, que son relevantes
afectan los incentivos que tienen los delincuentes al cometer para las entidades y han sido interiorizados por las entidades
sus ciberdelitos, e identificar si la legislación actual está policivas en su estudio y lucha anticriminal desde hace mucho
diseñada teniendo en cuenta la tipificación de las conductas tiempo. Una vez definida teóricamente la eficiencia de las entidades
y las herramientas de los entes encargados de capturar los apoderadas en la lucha contra los delitos informáticos, se propone
criminales. Se busca entender los principales factores que una función de beneficios económicos de la ciberdelincuencia
incentivan la ciberdelincuencia en el país, teniendo en cuenta adaptada para el caso colombiano, determinando las variables que
el contexto de la ciberdelincuencia para el 2019 en Colombia, mejor explican esta función. Al final de este ejercicio académico,
y con ello, el comportamiento de los delincuentes informáticos mediante un análisis de sensibilidad, se señala qué aspectos de
en la prepandemia. Con la Ley 1273 de 2019, encargada de política pública se deben considerar como prioritarios, teniendo
tipificar los delitos informáticos en Colombia, se revisarán los en cuenta los incentivos económicos para los ciberdelincuentes y
datos reportados de delitos informáticos y se compararán con la efectividad de la Ley 1273 de 2009.
los casos e indicadores de delitos de hurto calificado, con el fin
Palabras clave
Delitos informáticos, criminalidad mediante computadoras, políticas públicas, seguridad informática (fuente: Tesauro Criminológico - Instituto
Interregional de las Naciones Unidas para la Investigación sobre la Delincuencia y la Justicia - UNICRI). Hurto calificado, función de beneficios,
ciberdelincuencia (fuente: autores).
95 Rev. Crim. / Volumen 64 - Número 3 - Septiembre-Diciembre 2022 - pp. 95-116 - ISSN 1794-3108 - Bogotá, D. C., Colombia
Jaime Andrés Rincón Arteaga; Andrés Quijano Díaz; Santiago Armando Castiblanco Hernández; Juan David Urquijo Vanegas; Yuliana Katherine Pregonero León
Abstract
This paper is focused on determining which variables the relationship of these two crimes, which are relevant for
affect the incentives that criminals have when committing the entities and have been internalized by the police entities
cybercrime, and identify whether the current legislation in their study and anti-crime fight for a long time. Once
is designed taking into account the criminalization of the efficiency of the entities empowered in the fight against
behaviors and the tools of the entities in charge of catching cybercrime has been theoretically defined, a function of
criminals. It seeks to understand the main factors that economic benefits of cybercrime adapted to the Colombian
encourage cybercrime in the country, taking into account case is proposed, determining the variables that best explain
the context of cybercrime for 2019 in Colombia, and with this function. At the end of this academic exercise, through
it, the behavior of cybercriminals in the pre-pandemic. With a sensitivity analysis, it is pointed out which aspects of
Law 1273 of 2019, in charge of criminalizing computer public policy should be considered as a priority, taking into
crimes in Colombia, the reported data of computer account the economic incentives for cybercriminals and the
crimes will be reviewed and compared with the cases and effectiveness of Law 1273 of 2009.
indicators of qualified theft crimes, in order to determine
Key words
Computer crime, computer related crime, public policy, computer security (source: criminological thesaurus - United Nations Interregional
Crime and Justice Research Institute- UNICRI). Qualified theft, benefit function, cybercrime (source: authors).
Resumo
Este documento está focado em determinar quais de determinar a relação entre esses dois crimes, que são
variáveis afetam os incentivos que os criminosos têm relevantes para as entidades e foram internalizados por
quando cometem crimes cibernéticos, e identificar entidades policiais em seu estudo e combate aos crimes por
se a legislação atual é elaborada levando em conta a um longo tempo. Uma vez definida teoricamente a eficiência
classificação dos comportamentos e as ferramentas das das entidades habilitadas na luta contra o crime cibernético,
entidades encarregadas de capturar os criminosos. Ela propõe-se uma função dos benefícios econômicos do crime
procura compreender os principais fatores que incentivam cibernético adaptada ao caso colombiano, determinando
o cibercrime no país, levando em conta o contexto as variáveis que melhor explicam esta função. Ao final
do cibercrime para 2019 na Colômbia, e com ele, o deste exercício acadêmico, por meio de uma análise de
comportamento dos cibercriminosos na pré-pandemia. sensibilidade, indica-se quais aspectos das políticas públicas
Com a Lei 1273 de 2019, encarregada de criminalizar os devem ser considerados prioritários, levando em conta os
crimes cibernéticos na Colômbia, os dados comunicados incentivos econômicos para os cibercriminosos e a eficácia
de crimes cibernéticos serão revistos e comparados da Lei 1273 de 2009.
com os casos e indicadores de crimes de roubo, a fim
Palavras-chave
Crimes informáticos, crimes informáticos, políticas públicas, segurança informática (fonte: Thesaurus Criminológico - Instituto Inter-regional
de Pesquisa em Crime e Justiça das Nações Unidas - UNICRI). Roubo qualificado, função de benefício, cibercrime (fonte: autores).
Rev. Crim. / Volumen 64 – Número 3 – Septiembre-Diciembre 2022 –pp. 95-116 – ISSN 1794-3108 – Bogotá, D. C., Colombia 96
Ciberdelincuencia en Colombia: ¿qué tan eficiente ha sido la Ley de Delitos Informáticos?
97 Rev. Crim. / Volumen 64 – Número 3 – Septiembre-Diciembre 2022 –pp. 95-116 – ISSN 1794-3108 – Bogotá, D. C., Colombia
Jaime Andrés Rincón Arteaga; Andrés Quijano Díaz; Santiago Armando Castiblanco Hernández; Juan David Urquijo Vanegas; Yuliana Katherine Pregonero León
análisis económico del comportamiento de los la Organización de los Estados Americanos (OEA)
ciberdelincuentes y su percepción de las posibles con el de incidentes de seguridad estimado a partir
ganancias y contramedidas al efectuar estas actividades de la información del DANE (2020), Banco Mundial
(Konradt et al., 2016). y Statista, es posible hallar una razón de cuán exitoso
En esta publicación, los autores proponen una puede ser un ataque de phishing.
función de beneficios para un ciberdelincuente que Una de las principales variables para considerar en
ejecuta ataques de phishing. Al tomar esta función el estudio, son las ganancias que pueden obtener los
de beneficios y utilizar datos del cibercrimen en ciberdelincuentes al defraudar una cuenta. Si bien se
Colombia, se espera tener una mayor perspectiva encontraron diferentes rangos de ganancias, según el
cuantificable del efecto del marco legal vigente en la objeto de estudio, se observa que en cualquier caso las
toma de decisiones del ciberdelincuente colombiano. ganancias de estas actividades son altamente rentables.
De esta forma, es difícil calcular cuántos En el informe “Understanding the cost of cybercrime”,
ciberataques y medir cuántas cuentas terminaron se encuentra que mientras los vendedores que
afectadas, por lo cual es una limitación en esta ofrecen datos de tarjetas de crédito y débito pueden
investigación. Sin embargo, se analiza la naturaleza ganar entre £ 4,000 y £ 16,000 al precio mínimo, los
del delito, por el subregistro y porque no todos los compradores de estos datos financieros robados
ataques acaban estafando a los usuarios, y no todos pueden ganar entre £ 6.1 millones y £ 25.2 millones,
los usuarios defraudados denuncian ante una entidad dependiendo de cuántas de las cuentas estuvieran
judicial o policial. Según el Internet Crime Report, en los activas si se compraron en lotes de 50 grupos de datos
últimos cinco años, Estados Unidos ha recibido, en de cuentas (Home Office, 2018).
promedio, 340.000 denuncias por año; estas denuncias El estudio “Measuring the cost of cybercrime”
abordan una amplia gama de estafas en internet que se centra en el análisis de datos para el Reino
afectan a las víctimas durante todo el año (Internet Unido; indica que los diferentes costos que genera
Crime Complaint Center (IC3); 2019). el cibercrimen en la sociedad y en las empresas,
Respecto a los ciberataques, de acuerdo con los costos de defensa o de prevención pueden
el artículo Países de América Latina y el Caribe compararse con las pérdidas reales. Sin embargo,
más atacados por ataques de phishing en 2020”, el aquellos costos indirectos (pérdidas y costos de
20.61% de los usuarios de Kaspersky en Colombia oportunidad impuestos a la sociedad por el hecho
fueron atacados con phishing en el 2019. A partir de de que se lleve a cabo un determinado ciberdelito
la información del Banco Mundial y según el Censo independientemente de que tenga éxito o no) en los
Nacional de Población y Vivienda del 2018, se que incurren las empresas por temor al fraude, tanto
estima que estos ataques representan alrededor de para consumidores como para comerciantes, son
6. 618.311 personas1 en Colombia (Statista, 2019). varias veces superiores (Anderson, 2012).
Otro aporte tenido en cuenta es el estudio de En el caso colombiano, el informe “Costos del
“Estado de la ciberseguridad en el sistema financiero cibercrimen en Colombia 2016-2017”, del Centro
colombiano”. Indica que, mediante encuestas anónimas Cibernético Policial, encontró que para el 2017, las
a entidades financieras y a usuarios financieros de ganancias asociadas a las estafas mediante compras on-
Colombia, brinda información sobre eventos o line oscilan entre $ 30.000 y $ 300.000, y las asociadas
incidentes de seguridad de la información del sistema al phishing (suplantación de páginas bancarias o de
financiero colombiano. Además, uno de los hallazgos gobierno) oscilan entre $ 200.000 y $ 50.000.000,
es el porcentaje de usuarios financieros que luego dependiendo de la cantidad de dinero que las víctimas
de sufrir un incidente de seguridad informan a las tengan en sus cuentas bancarias o el monto de su tarjeta
autoridades que han sido afectados, el cual es solo del de crédito (Policía Nacional de Colombia, 2017).
26% para el 2019 (OEA, 2020). Asimismo, una mayor aproximación a la función
Al comparar el número de cuentas atacadas de costos y beneficios de los ciberdelincuentes, implica
entre la información pública de la Fiscalía General también observar costos asociados como el tiempo
de la Nación sobre el número de denuncias y el dedicado a realizar el fraude y el precio de adquirir
porcentaje de denuncias calculado en el estudio de las herramientas cibernéticas. Si bien estas variables
escapan al objeto de este estudio, publicaciones como
1 El cálculo se hace a partir de proyecciones del DANE, que calculan para
el 2019 una población de 49. 395. 678 de personas, junto con los datos del
“Russian Underground 2.0”, que es un estudio del
Banco Mundial que estiman que 65,01% de la población total colombiana mercado negro o clandestino en el que interactúan
tiene acceso a internet, lo que equivale a 32. 112. 131. Este segmento de la cibercriminales rusos, presenta el comportamiento
población podría ser afectado por un ataque de phishing, por lo que se calcula
el 20,61% a esta. (Censo Nacional de Población y Vivienda 2018, s. f.)
Rev. Crim. / Volumen 64 – Número 3 – Septiembre-Diciembre 2022 –pp. 95-116 – ISSN 1794-3108 – Bogotá, D. C., Colombia 98
Ciberdelincuencia en Colombia: ¿qué tan eficiente ha sido la Ley de Delitos Informáticos?
de los precios de algunos servicios ofrecidos en este tipo de delitos, en comparación al otro para poder
mercado a través de los años (Goncharov, 2015). realizar capturas; el número de policías asignados
Finalmente, el principal insumo para este estudio para atender cada tipo de denuncias; qué tan fácil (o
son las cifras relacionadas con denuncias y capturas difícil) puede ser identificar a los ciberdelincuentes en
de la Ley 1273 de 2009, que modifica el Código Penal comparación con los ladrones comunes; entre otros
y tipifica los delitos informáticos en Colombia. Esta factores.
ley constituye el primer objeto de estudio de esta Siguiendo este análisis, se desea cuantificar
investigación (en cuanto a su eficiencia). La ley adiciona la ganancia esperada de los ciberdelincuentes
al Código Penal el título VII BIS, “De la protección de colombianos que buscan defraudar a clientes del
la información y de los datos, y agrega los artículos sistema bancario colombiano mediante el phishing.
269A a 269J, que mencionan las penas de prisión y Para ello, se aplicará la función de ganancias
las multas en salarios legales mensuales vigentes de esperadas por el ciberdelincuente, presentada por
quienes cometan este tipo de delitos. Konradt, que considera la posible ganancia de un
En vista de lo anterior, existe un punto de partida ataque menos el posible costo del ataque:
para hacer una aproximación al nivel de eficiencia de la
Ley 1273 de 2009 y cuantificar las ganancias promedio L * S1* S2* Pk 1
Beneficios = − F * Pc(K), con Pc (K) = 1 − (1+ B)˄K
de un ciberdelincuente en Colombia en un año, así g
como tratar de determinar los factores que explican Las variables se interpretan así:
estos dos objetivos. L = ganancia esperada por un ataque perpetuado.
Se calcula a partir de la información recolectada por
Metodología Asobancaria, de acuerdo con el “Informe mensual de
fraude” elaborado con la información suministrada
por sus agremiados sobre el reclamo por fraude
La información base la suministra la Dirección de
promedio.
Política y Estrategias de la Fiscalía General de la
s1 = tasa de éxito de obtener la información.
Nación, obtenida del Sistema Penal Oral y Acusatorio
Calculada a partir de un indicador: número de usuarios
(SPOA), que indica el número de denuncias y capturas
afectados por un ataque, obtenido a partir de la
por delitos informáticos, al igual que las denuncias y
información de la OEA de su documento del 2020:
capturas por hurto agravado, mensual y departamental
“Estado de la ciberseguridad en el Sistema Financiero
del período 2010-2020. A partir de ello, se calcula
Colombiano”, divido entre la cantidad de ataques en
un indicador de captura por denuncia Cd, que es la
Colombia en el 2019, utilizando como proxy la variable k.
razón del número de capturas por denuncias por
s2 = tasa de éxito de vender la información. A
departamento para determinado año. A continuación,
diferencia del estudio de Konradt et al. (2016), se toma
el indicador Cd:
como L la ganancia obtenida por los ciberdelincuentes
del ataque perpetuado, y no la ganancia esperada de
Cd = Número de capturas / Número de denuncias vender la información obtenida, por lo que se asume
s2 = 1.
Este indicador se calcula para los delitos de hurto k = número de cuentas atacadas. Calculado a
agravado y hurto por medio informático en los 32 partir del porcentaje de colombianos que recibió
departamentos y el Distrito Capital para el 2019. ataques en el 2019, según el informe “Cybersecurity
Así entonces, se compara el indicador Cd entre in Latin America” de Statista.
un agregado de los delitos informáticos tipificados g = miembros de la banda delincuencial. Por
en la Ley 1273 de 2009 y el hurto calificado, con el principio de parsimonia, se asume que g = 1. Sin
fin de identificar si la aplicación de esta ley es tan embargo, como se quiere saber la ganancia promedio
efectiva a la de un delito de hurto. Se elige el delito de un ciberdelincuente, se reemplazará el valor de g
de hurto calificado por tratarse de delitos similares por n.
(ambos involucran robo, al igual que el delito de n = número de capturas que se efectuaron en
hurto calificado es un delito “consolidado”, es decir, ese año.
la policía está acostumbrada a atender denuncias de F = multa por cometer estos delitos. Se revisó
este tipo). Cabe mencionar que las diferencias en el Código Penal y se toman en cuenta las multas
la efectividad pueden deberse a diferentes factores: en salarios mínimos legales vigentes y los años de
como la preparación o capacitación en el manejo de privación de libertad, y se consideran, asimismo, las
pruebas que tienen las fuerzas policiales frente a un
99 Rev. Crim. / Volumen 64 – Número 3 – Septiembre-Diciembre 2022 –pp. 95-116 – ISSN 1794-3108 – Bogotá, D. C., Colombia
Jaime Andrés Rincón Arteaga; Andrés Quijano Díaz; Santiago Armando Castiblanco Hernández; Juan David Urquijo Vanegas; Yuliana Katherine Pregonero León
rebajas de 3/5 partes que pueden darse en este tipo Al observar esta información a nivel departamental,
de delitos, correspondiendo así a seis años de cárcel. se encuentra que Bogotá es la entidad territorial con
Para medir el costo de oportunidad de estos seis años mayor número de denuncias por delitos informáticos,
de cárcel, se toma el salario promedio colombiano con 8.097, seguida de Antioquia con 2.934 denuncias
para el 2019, según las cifras de la Organización para y Valle del Cauca con 2.683. Asimismo, Bogotá es la
la Cooperación y el Desarrollo Económicos (OCDE, entidad territorial con mayor número de capturas por
2021). delitos informáticos, con 625, seguida de Antioquia
Pc(k) = probabilidad de ser capturado. Se utilizará con 211 capturas y Bolívar con 153.
el indicador Cd. En Konradt et al. (2016) se presenta Para el delito de hurto calificado, Valle del Cauca
como una función dependiente de un parámetro es el primer departamento con 29.479 denuncias,
b aleatorio y k, número de cuentas atacadas. Para seguido de Antioquia con 16.409 y Bogotá con 13.052
calcular con mayor precisión b, se ha decidido emplear denuncias; mientras que, por capturas de este delito,
el número de cuentas atacadas ya estimado e igualar Bogotá tuvo 7.858, seguida de Antioquia con 3.336
de la siguiente forma Pc(k) = Cd. capturas y Valle del Cauca con 2.055.
Así, la ecuación queda de la siguiente forma: Como se observa en la figura 1, los principales
entes territoriales donde ocurren los delitos
Beneficios = (L * s1 * k )| n − F * Cd informáticos son los centros urbanos importantes
del país, en los que se concentran las actividades
Finalmente, se evalúa la posibilidad de que a partir económicas y servicios financieros.
de un ataque de un cibercriminal las ganancias sean Figura 1.
mayores a 0, y se analiza el efecto (y su magnitud) que Top 10 de denuncias y capturas por delitos informáticos a nivel
aumenta en las variables k (número de cuentas atacadas), departamental.
s1 (tasa de éxito en la obtención de información) y F
(multa por la comisión de estos delitos), en la función de
Bogotá, D. C. 8.097
beneficios del ciberdelincuente. 625
Antioquia 2.934
211
Meta 681
Con base en la información suministrada por la 124
Rev. Crim. / Volumen 64 – Número 3 – Septiembre-Diciembre 2022 –pp. 95-116 – ISSN 1794-3108 – Bogotá, D. C., Colombia 100
Ciberdelincuencia en Colombia: ¿qué tan eficiente ha sido la Ley de Delitos Informáticos?
Bolívar 24,0%
Meta 18,2%
Risaralda 14,5%
Caquetá 11,7%
Quindío 10,9%
Cundinamarca 10,7%
Huila 9,6%
Fuente: datos aportados por la Fiscalía General de la Nación.
Bogotá, D. C. 7,7%
Chocó 7,6%
Casanare 7,5%
Asimismo, estos indicadores se interpretan como
Cesar 7,4%
la probabilidad de ser capturado por la policía al
cometer un delito informático; así, la probabilidad de ser
Antioquia 7,2%
capturado en Bolívar por cometer un delito informático
Promedio nacional 7,1%
es del 24 %, mientras en Risaralda es del 14%.
Tolima 6,6%
En términos agregados, el indicador de captura
Atlántico 5,7%
nacional es de 7.1%, mientras que para hurto
Valle del Cauca 5,2%
calificado es de 22.8%, como se verá más adelante.
Norte de Santander 2,8%
Ante estos resultados, se decidió analizar las variables:
Santander 1,8%
nivel de inclusión financiera y población estimada en
Caldas 1,6%
los diferentes departamentos, y determinar si estas
Boyacá 0,9%
influyen en la dispersión del indicador en el ámbito
Magdalena 0,9%
nacional.
Córdoba 0,8%
Al existir una mayor población con productos
Sucre 0,6% financieros, es posible que el número de denuncias
Cauca 0,5% por delitos informáticos sea mayor, lo que implica
más trabajo para las fuerzas policiales. Sin embargo,
Fuente:
Fuente: datos
datos aportados
aportados por laGeneral
por la Fiscalía FiscalíadeGeneral
la Nación.de la Nación.
también puede existir el efecto de que, con una mayor
inclusión financiera, las fuerzas policiales pueden tener
Como se observa en las figuras 2 y 3, los un mayor conocimiento de los delitos informáticos.
departamentos con mayor indicador de captura Teniendo en cuenta lo anterior, a partir
por denuncia son Bolívar con 24%, Meta con 18,2% del Informe de Inclusión Financiera de Personas
y Risaralda con 14.5%. Estos indicadores al leerlos Naturales para diciembre 2019 de la Banca de las
como porcentaje se interpretan como de cada 100 Oportunidades, (2020) la población estimada según
denuncias por delitos informáticos, se realizan x el DANE y el índice de desarrollo humano (IDH) por
capturas”.
101 Rev. Crim. / Volumen 64 – Número 3 – Septiembre-Diciembre 2022 –pp. 95-116 – ISSN 1794-3108 – Bogotá, D. C., Colombia
Jaime Andrés Rincón Arteaga; Andrés Quijano Díaz; Santiago Armando Castiblanco Hernández; Juan David Urquijo Vanegas; Yuliana Katherine Pregonero León
30%
Tabla 1.
Matriz de correlación. 25%
Índice de captura Cd
20%
20%
30%
15%
25%
Indicador de captura Cd
10%
20%
5%
15%
0%
10% 0M 2M 4M 6M 8M
Población
5%
0%
45% 55% 65% 75% 85% 95% 105%
También se debe mencionar que, en promedio, la
Indicador de acceso correlación entre el índice de captura por hurto calificado
y los factores propuestos, es mayor, en términos
El coeficiente de correlación entre el índice de generales, a los ligados al índice de captura por delitos
captura por delitos informáticos y el indicador de informáticos. Esto claramente se puede obviar, puesto
acceso es de 17.49%; el coeficiente de correlación que tampoco representan una correlación significativa.
entre este índice de captura y el índice de desarrollo De esta forma, sugiere que entre departamentos
humano (IDH) es de 15.87%; mientras que el existen factores difíciles de medir, que determinan la
coeficiente de correlación entre el índice de captura eficiencia de la captura de delitos informáticos. Por
y la población estimada es de −1.54% (véanse figuras ejemplo, los factores de cohesión institucional de las
4, 5 y 6). entidades encargadas de las capturas; pues no cuentan
A partir de estos resultados, se observa que con herramientas precisas para llevar a cabo su labor,
el acceso a servicios financieros en las entidades debido a su capacidad de rastreo o de alcance.
territoriales y el índice de desarrollo humano no Al observar la figura 6, se identifica un grupo
tienen una relación estadísticamente significativa a un de datos, aquellos que se encuentran con una
nivel de confianza de 95%. población menor a 2.500.000 habitantes3. Si bien el
coeficiente de correlación entre el índice de captura
Rev. Crim. / Volumen 64 – Número 3 – Septiembre-Diciembre 2022 –pp. 95-116 – ISSN 1794-3108 – Bogotá, D. C., Colombia 102
Ciberdelincuencia en Colombia: ¿qué tan eficiente ha sido la Ley de Delitos Informáticos?
Figura 7.
Indicador de captura por hurto calificado por departamento.
Bogotá, D. C. 60,2%
Caquetá 48,5%
Meta 47,5%
Norte Santander 45,7%
Atlántico 38,3%
Cundinamarca 34,0%
Magdalena 32,3%
Cesar 32,1%
Quindío 30,7%
Boyacá 30,4%
Córdoba 25,0%
Huila 24,8%
Caldas 23,5%
Promedio nacional 22,8%
Sucre 21,2%
Antioquia 20,3%
Casanare 18,3%
Santander 17,6%
Bolívar 15,8%
Cauca 14,1%
Risaralda 13,5%
Chocó 12,6%
Tolima 12,3%
Valle del Cauca 7,0%
103 Rev. Crim. / Volumen 64 – Número 3 – Septiembre-Diciembre 2022 –pp. 95-116 – ISSN 1794-3108 – Bogotá, D. C., Colombia
Jaime Andrés Rincón Arteaga; Andrés Quijano Díaz; Santiago Armando Castiblanco Hernández; Juan David Urquijo Vanegas; Yuliana Katherine Pregonero León
Figura 8.
Comparación entre índices de captura a nivel de entidad territorial.
A partir de esta información, se comparan los Por otra parte, llama la atención el poco número
índices de captura de hurto calificado y el índice de de denuncias por delitos relacionados con el hurto por
captura para delitos informáticos Cd (véase figura 8). medios informáticos. Si se tiene en cuenta que, para
En los anexos de este documento, se relacionan efectuar un hurto por medio informático, es habitual
las capturas y denuncias con el indicador de captura que se realicen accesos abusivos, software malicioso
por departamento y el acceso de la denuncia que o uso no autorizado de información personal (como
relacionan el cumplimiento entre la denuncia y el se indicó en la figura 1), lo que podría indicar una
delito por territorio. cierta falta de conocimiento de los entes policiales al
Se observa que, para la mayoría de las entidades atender las denuncias que reciben.
territoriales, el indicador de captura por hurto Continuando con la comparación de estos
calificado es mayor que el de delito informático, índices, al analizar las correlaciones de variables como
siendo las únicas excepciones Bolívar y Risaralda; lo el indicador de acceso, la población y el índice de
que sustenta la hipótesis de que la ejecución de la desarrollo humano, se encuentra que estas variables
Ley de Delitos Informáticos, de 2009 ha sido menos no presentan correlaciones significativas a un nivel de
eficiente, al menos en la mayoría de los departamentos, confianza del 95%. Por tanto, se podría afirmar que
si se compara con el delito de hurto calificado. estas variables no tienen relación con la capacidad
Además, cuando se analiza el indicador de o eficiencia de las fuerzas policiales de las entidades
captura para hurto por medio informático (el delito territoriales, para realizar capturas en delitos
informático del que más se recibieron denuncias), se tipificados en la Ley 1273 de 2009 o delitos de hurto
encuentra que para todas las entidades territoriales la calificado, indicando que son otros aspectos y no los
diferencia es negativa, por lo que el índice de captura que suelen asociarse a un mayor desarrollo (mayor
por hurto por medio informático es menor al de población, desarrollo humano o inclusión financiera)
hurto calificado4. que hacen que las fuerzas policiales sean más eficaces.
4 Los indicadores para los otros delitos tipificados en la Ley 1273 de 2009 se
presentan en el Anexo 1.
Rev. Crim. / Volumen 64 – Número 3 – Septiembre-Diciembre 2022 –pp. 95-116 – ISSN 1794-3108 – Bogotá, D. C., Colombia 104
Ciberdelincuencia en Colombia: ¿qué tan eficiente ha sido la Ley de Delitos Informáticos?
En el caso de los departamentos de Bolívar presentan alto Cd: Bolívar, Caquetá, Casanare, Cesar,
y Risaralda, se observa que el indicador para el Chocó, Huila, Meta, Quindío y Risaralda.
“acceso abusivo a un sistema informático es mayor al De la información de la figura 9, es posible
indicador para hurto calificado5, y es el principal delito observar que los departamentos con alto índice de
que permite que Cd sea mayor al indicador de hurto captura en delitos informáticos, son los que tienen
calificado. Sería de interés observar y conocer los mayor índice de captura en hurto calificado; lo que
procedimientos que realizan en estos departamentos sustenta la idea de que la eficiencia en la captura
frente a este tipo de delitos, para así identificar buenas de delitos informáticos no está relacionada con los
prácticas que se puedan compartir con las otras indicadores de población, desarrollo humano o
entidades territoriales. acceso a servicios financieros, sino con la formación
A continuación, se calculan los indicadores de que reciben las fuerzas policiales de estos territorios
captura para delitos informáticos y de hurto calificado y que pueden estar asociadas en la misma formación
para tres grupos identificados en la figura 6, los que en delitos como el hurto calificado.
se encuentran por encima de la tendencia y con una También se debe mencionar que la correlación
población menor de 2.500.000 habitantes; los que entre el índice de captura por delitos informáticos y
están por debajo de la tendencia y con una población el índice de captura por hurto calificado, no supera ni
menor de 2.500.000 habitantes, y los principales siquiera el 10% para los grupos poblacionales de menos
centros poblacionales que superen los 2.500.000 de 2.5 millones de habitantes, así como tampoco para
habitantes (véase figura 9). grupos de más de 2.5 millones de habitantes.
De estos grupos, los principales centros urbanos Finalmente, se muestra el valor de los indicadores
son Antioquia, Atlántico, Bogotá, D. C., Cundinamarca de captura de delitos informáticos Cd y hurto calificado
y Valle del Cauca; los departamentos con bajo Cd: en los últimos diez años, con el fin de conocer su
Boyacá, Caldas, Cauca, Córdoba, Magdalena, Norte comportamiento (véanse figuras 10 y 11).
de Santander, Santander, Sucre y Tolima, y los que
Figura 9.
Comparación entre índices de captura entre grupos.
105 Rev. Crim. / Volumen 64 – Número 3 – Septiembre-Diciembre 2022 –pp. 95-116 – ISSN 1794-3108 – Bogotá, D. C., Colombia
Jaime Andrés Rincón Arteaga; Andrés Quijano Díaz; Santiago Armando Castiblanco Hernández; Juan David Urquijo Vanegas; Yuliana Katherine Pregonero León
Figura 10.
Comportamiento histórico del indicador de delitos informáticos Cd.
Figura 11.
Comportamiento histórico del indicador de hurto calificado.
Figura 12.
Comportamiento histórico del indicador de hurto calificado y delitos informáticos.
35%
30%
25%
20%
15%
10%
5%
0%
Rev. Crim. / Volumen 64 – Número 3 – Septiembre-Diciembre 2022 –pp. 95-116 – ISSN 1794-3108 – Bogotá, D. C., Colombia 106
Ciberdelincuencia en Colombia: ¿qué tan eficiente ha sido la Ley de Delitos Informáticos?
6.618.311 personas (y cuentas) atacadas en el 2019 7 Esta estimación se hace con base en el Código Penal que tipifica de 6 a 14
años de cárcel para las personas que cometan el delito de hurto por medios
en Colombia. informáticos (el delito más denunciado de la Ley 1273 de 2009), tomando
como valor promedio diez años. A estos diez años se les aplica el beneficio
107 Rev. Crim. / Volumen 64 – Número 3 – Septiembre-Diciembre 2022 –pp. 95-116 – ISSN 1794-3108 – Bogotá, D. C., Colombia
Jaime Andrés Rincón Arteaga; Andrés Quijano Díaz; Santiago Armando Castiblanco Hernández; Juan David Urquijo Vanegas; Yuliana Katherine Pregonero León
Este costo de oportunidad corresponde a F y se Asobancaria, como el bloqueo preventivo de los URL
estima en $ 107.121.744. maliciosos para evitar que los usuarios financieros
Pc (k) corresponde a la probabilidad de ser accedan a estos, se transforman en una excelente
capturado, por lo que se tomará el valor hallado de herramienta para disminuir la tasa de éxito de los
Cd a nivel nacional, que corresponde a 0.071 o 7.1%. ciberataques.
Con estos datos, se estima que el costo esperado Los bancos, constantemente realizan actividades
asociado con cometer ciberdelitos en Colombia de concientización y educación financiera, y en el
−F * Cd − es de $ 7.587.249. caso colombiano, actores como la Policía Nacional,
Incocrédito y Asobancaria hacen constantes
esfuerzos para concientizar a los usuarios financieros
Análisis de sensibilidad sobre la importancia de cuidar datos sensibles como
contraseñas y claves de sus productos.
Rev. Crim. / Volumen 64 – Número 3 – Septiembre-Diciembre 2022 –pp. 95-116 – ISSN 1794-3108 – Bogotá, D. C., Colombia 108
Ciberdelincuencia en Colombia: ¿qué tan eficiente ha sido la Ley de Delitos Informáticos?
Tabla 3.
Análisis de sensibilidad tasa de éxito de ataques s1 y probabilidad de ser capturado Cd
109 Rev. Crim. / Volumen 64 – Número 3 – Septiembre-Diciembre 2022 –pp. 95-116 – ISSN 1794-3108 – Bogotá, D. C., Colombia
Jaime Andrés Rincón Arteaga; Andrés Quijano Díaz; Santiago Armando Castiblanco Hernández; Juan David Urquijo Vanegas; Yuliana Katherine Pregonero León
policía. Es decir, no existe una relación positiva directa cibernético para el usuario final, afectando los modos
entre la capacidad institucional de la policía en delitos de operación de las bandas, correlacionando qué
de hurto calificado y los delitos informáticos. A su monitores IPS generan estos mensajes maliciosos
vez, las dinámicas de fortaleza institucional se reflejan y que afectan las estructuras de ganancias de los
en que, si bien ambos son delitos, existen diferencias ciberdelincuentes.
cuando se trata de capacitar a los policías para que
cumplan su valiosa labor.
Al analizar las variables (k = número de cuentas
atacadas y F = multa por cometer estos delitos) de la Referencias
ecuación de beneficios del ciberdelincuente, se denota
que estas son difíciles de modificar por la política pública. Anderson, R., Barton, Ch., Böhme, R., Clayton, R.,
La tendencia de k es aumentar a medida que existan más Eeten, M., Levi, M., Moore, T., & Savage,
personas bancarizadas y la tendencia de F depende de S. (2012). Measuring the cost of cybercrime.
la política criminal de Colombia; por lo cual, el reto es https://cseweb.ucsd.edu/~savage/papers/
integrar estas dos variables en la agenda nacional para WEIS2012.pdf
Banca de las Oportunidades. (2020). Personas con productos
mejorar la capacidad operativa de los entes de control
financieros. https://bancadelasoportunidades.
y policivos. Por ello, se encuentra que las variables gov.co/index.php/es/personas-empresas
más factibles de modificar mediante propuestas de Censo Nacional de Población y Vivienda 2018. (s.f.).
política pública son s1 (tasa de éxito en la obtención de https://www.dane.gov.co/index.php/
información) y transversalmente, la probabilidad de ser estadisticas-por-tema/demografia-y-poblacion/
capturado por delitos informáticos Cd. Al combinarse, censo-nacional-de-poblacion-y-vivenda-2018
se requerirían cambios factibles para que las ganancias Centro Cibernético Policial. (2017). Costos del
del ciberdelincuente en un año sean cercanas a 0, de cibercrimen en Colombia 2016-2017.
acuerdo con nuestro análisis, manteniendo todo lo https://caivirtual.policia.gov.co/sites/default/
demás constante (Principio de Pareto). files/costos_del_cibercrimen_2017.pdf
Estos resultados nos sugieren buscar diferentes Congreso De Colombia (5 enero de 2009). Ley 1273,
Protección de la información y de los datos. Código
estrategias, como diseñar un indicador que mida la
Penal Colombiano. https://www.sic.gov.co/
efectividad del delito, y se propone realizar una mesa recursos_user/documentos/normatividad/
de seguimiento entre entidades de investigación y Ley_1273_2009.pdf
la Asobancaria, donde se determine el avance del Council, H. O. (2018). Undertanding the cost of cibercrime.
indicador con variables como el desarrollo formativo, https://bit.ly/2IDou1k
herramientas de investigación, entre otras. Se pueden Datos abiertos de la. (s. f.). Fiscalía General de la Nación.
crear indicadores por regionales y departamentos Recuperado 11 de octubre de 2022, de
que en conjunto determinen planes de acción con la https://www.fiscalia.gov.co/colombia/gestion/
Policía y Fiscalía para incrementar el nivel de captura estadisticas/
del delito respecto a las denuncias, asegurando el Díaz, M. R. O., & Rangel, P. E. S. (2020). Desafíos
cumplimiento de la Ley 1273 de 2009. nacionales frente a la ciberseguridad en el
escenario global: Un análisis para Colombia*.
Se recomienda mejorar el trabajo conjunto en
Revista Criminalidad, 62(2), 199–217.
comunicación y capacidad institucional articulada para https://revistacriminalidad.policia.gov.
el gremio financiero, entidades gubernamentales y co:8000/index.php/revcriminalidad/article/
las entidades responsables de las capturas por estos view/168
delitos (Policía Nacional, jueces, Fiscalía, bancos, Departamento Administrativo Nacional de Estadística,
Colcert, CSIRT, entes territoriales). También, hacer DANE. (2020). Censo Nacional de Población y
más campañas orientadas al usuario, que se centren Vivienda -CNPV- 2018. https://www.dane.gov.co/
en la concientización y de educación financiera, con index.php/estadisticas-por-tema/demografia-y-
el objetivo de reducir los actos de cibercrimen, entre poblacion/proyecciones-de-poblacion
otros. Esta última recomendación se puede desarrollar Fiscalía General de la Nación (s.f.). (2022, 11 de
a través de mensajes de textos o herramientas contra octubre), de https://www.fiscalia.gov.co/
colombia/gestion/estadisticas/
la ciberdelincuencia, con el objetivo de detectar
mensajes maliciosos y bloquear las URL de riesgo
Rev. Crim. / Volumen 64 – Número 3 – Septiembre-Diciembre 2022 –pp. 95-116 – ISSN 1794-3108 – Bogotá, D. C., Colombia 110
Ciberdelincuencia en Colombia: ¿qué tan eficiente ha sido la Ley de Delitos Informáticos?
Global Data Lab. (s.f.). Human development indices Reportes anuales. (s. f.). Reporte de Inclusión Financiera 2021
5.0 https://hdr.undp.org/data-center/human- https://www.bancadelasoportunidades.gov.co/
development-index#/indicies/HDI. index.php/es/publicaciones/reportes-anuales
Goncharov, M. (2015). The Russian underground 2.0. Ross, A., Barton, C., Bohme, R., Clayton, R., Levi, M.,
https://okapitech.co.uk/2016/04/27/the- Moore, T., & Stefan, S. (2012). Measuring
russian-underground/ the cost of cybercrime. https://cseweb.ucsd.
Home Office. (2018, 18 enero). Understanding the edu/~savage/papers/WEIS2012.pdf
costs of cyber crime. GOV.UK. Senado de la Republica. (2000). Código Penal colombiano
https://www.gov.uk/government/ - Ley 599 de 2000.
publications/understanding-the-costs-of- https://perso.unifr.ch/derechopenal/assets/
cyber-crime files/legislacion/l_20130808_01.pdf
Internet Crime Complaint Center (IC3) | Annual Corporación Excelencia en la Justicia. (2019).
Reports. (s. f.). (2022, 11 de octubre). Informe de estadísticas del Sistema Penal Oral
https://www.ic3.gov/Home/AnnualReports Acusatorio (SPOA). https://cej.org.co/wp-
Konradt, C., Schilling, A., & Wemers, B. (2016). content/uploads/2021/02/Balance-Sist.-Penal-
Phishing: An economy analysis of cybercrime Acusatorio-2019-1.pdf
perpetrators. Computers & Security, 58, 39-46. Statista. (2019). Países de América Latina y el Caribe
https://doi.org/10.1016/j.cose.2015.12.001 más atacados por ataques de phishing en 2020.
Mundial, B. (2021). Individual using the internet-Colombia. https://www.statista.com/statistics/997956/
https://data.worldbank.org/indicator/IT.NET. phishing-attack-user-share-latin-america-
USER.ZS?locations=CO country/
Organización de los Estados Americanos, OEA. (2020). Yonge, J. D. (2022). EY. The pandemic hastened the
Estado de la ciberseguridad en el sistema financiero arrival of trends already on the leadership agenda.
colombiano. https://www.asobancaria.com/ CEOs must seize this opportunity to transform
wp-content/uploads/2020/10/20201014- or be left behind. https://www.ey.com/en_us/
ASOBANCARIA-2020_compressed.pdf ceo/the-ceo-imperative-how-has-adversity-
Organization for Economic Co-Operation and become-a-springboard-to-growth
Development. (OCDE, 2021). Minimum
relative to average wages of full-time workers.
https://stats.oecd.org/Index.
aspx?DataSetCode=MIN2AVE
111 Rev. Crim. / Volumen 64 – Número 3 – Septiembre-Diciembre 2022 –pp. 95-116 – ISSN 1794-3108 – Bogotá, D. C., Colombia
Jaime Andrés Rincón Arteaga; Andrés Quijano Díaz; Santiago Armando Castiblanco Hernández; Juan David Urquijo Vanegas; Yuliana Katherine Pregonero León
Anexos
Anexo 1
Figura 13.
Denuncias y capturas por delitos informáticos a nivel departamental.
Bogotá, D. C. 625
8.097
2.934
Antioquia 211
Norte de Santander 20
1.085
Atlántico 60
1.060
Cundinamarca 91
847
Meta 124
681
Norte de… 19
679
Tolima 44
667
Bolívar 153
637
Nariño 0
455
Magdalena 4
430
Cauca 2
428
Boyacá 4
423
Risaralda 60
414
Huila 33
345
Caldas 5
311
Cesar 22
297
251
Córdoba
2
Quindío 25
229
Caquetá 24
206
Casanare 13
174
Sucre 1
171
Chocó 12
158
La Guajira 87
0
Putumayo 0
58
Arauca 0
50
20
San Andrés 0
15
Guaviare 0
Amazonas 15
0
6
Vichada 0
Guainía 0
3
1
Vaupés 0
Rev. Crim. / Volumen 64 – Número 3 – Septiembre-Diciembre 2022 –pp. 95-116 – ISSN 1794-3108 – Bogotá, D. C., Colombia 112
Ciberdelincuencia en Colombia: ¿qué tan eficiente ha sido la Ley de Delitos Informáticos?
Figura 14.
Denuncias de delitos informáticos en el 2019.
Figura 15.
Capturas de delitos informáticos en el 2019.
113 Rev. Crim. / Volumen 64 – Número 3 – Septiembre-Diciembre 2022 –pp. 95-116 – ISSN 1794-3108 – Bogotá, D. C., Colombia
Jaime Andrés Rincón Arteaga; Andrés Quijano Díaz; Santiago Armando Castiblanco Hernández; Juan David Urquijo Vanegas; Yuliana Katherine Pregonero León
Anexo 2
Para diciembre de 2019, hay once departamentos acceso entre 70% y 79,9%, seis departamentos con
(incluyendo Bogotá) con un indicador de acceso un indicador entre 60% y 69,9%, dos departamentos
mayor a 80%, por lo cual ocho de cada diez adultos (o con indicadores entre 50% y 59,9% y cuatro
más) en estos departamentos cuentan con productos departamentos con indicadores menores a 50%
financieros, diez departamentos con un indicador de (Vaupés, Vichada, Guainía y Chocó) (véase tabla 4).
Tabla 4.
Indicador de acceso por departamento.
Tabla 5.
Población estimada por entidad territorial para el 2019.
Rev. Crim. / Volumen 64 – Número 3 – Septiembre-Diciembre 2022 –pp. 95-116 – ISSN 1794-3108 – Bogotá, D. C., Colombia 114
Ciberdelincuencia en Colombia: ¿qué tan eficiente ha sido la Ley de Delitos Informáticos?
Tabla 6.
Indicador de captura por denuncia, hurto calificado y delitos de la Ley 1273 de 2009.
Acceso abusivo Hurto por medios Interceptación Obstaculización ilegítima de Suplantación de sitios Transferencia no Uso de Violación de
Entidades Hurto Daño
a un sistema informáticos y de datos sistema informático o red de web para capturar datos consentida de software datos
territoriales calificado informático
informático semejantes informáticos telecomunicación personales activos malicioso personales
Amazonas 0,600
Antioquia 0,203 0,096 0,049 0,364 0,238 0,127
Arauca 0,235
Archipiélago de San
Andrés, Providencia 0,195
y Santa Catalina
Atlántico 0,383 0,005 1,375 0,049 3,000 0,019 0,110 0,008
Bogotá, D. C. 0,602 0,163 0,104 0,054 0,005 1,087 0,084 0,004 0,092
Bolívar 0,158 0,703 0,047 1,327
Boyacá 0,304 0,018 0,008 0,020
Caldas 0,235 0,014 0,250 0,030
Caquetá 0,485 0,188 0,126 0,500 0,077
Casanare 0,183 0,129 0,008 0,571
Cauca 0,141 0,015 0,014
Cesar 0,321 0,046 0,048 0,278 0,500
Chocó 0,126 0,462 2.00
Córdoba 0,250 0,006 0,125
Cundinamarca 0,340 0,381 0,063 0,005 0,019 2,154
Guainía 0,571
Guaviare 0,216
Huila 0,248 0,156 0,750 0,100 0,018 0,128
La Guajira 0,400
Magdalena 0,323 0,019
Meta 0,475 0,033 0,500 0,038 0,250 4,800 0,547
Nariño 0,223
Putumayo 0,441
Quindío 0,307 0,123 0,227
Risaralda 0,135 0,270 0,079 0,273 0,429
Santander 0,176 0,021 0,028
115 Rev. Crim. / Volumen 64 - Número 3 - Septiembre-Diciembre 2022 - pp. 95-116 - ISSN 1794-3108 - Bogotá, D. C., Colombia
Jaime Andrés Rincón Arteaga; Andrés Quijano Díaz; Santiago Armando Castiblanco Hernández; Juan David Urquijo Vanegas; Yuliana Katherine Pregonero León
Tabla 6.
Indicador de captura por denuncia, hurto calificado y delitos de la Ley 1273 de 2009. (Continuación)
Acceso abusivo Hurto por medios Interceptación Obstaculización ilegítima de Suplantación de sitios Transferencia no Uso de Violación de
Entidades Hurto Daño
a un sistema informáticos y de datos sistema informático o red de web para capturar datos consentida de software datos
territoriales calificado informático
informático semejantes informáticos telecomunicación personales activos malicioso personales
Sucre 0,212 0,008
Tolima 0,123 0,058 0,333 0,038 3,000 0,096
Valle del Cauca 0,070 0,125 0,026 0,038 0,143 0,040 0,160
Vaupés 0,333
Vichada 0,297
Total general 0,228 0,130 0,145 0,041 0,008 0,929 0,001 0,075 0,108 0,115
Rev. Crim. / Volumen 64 - Número 3 - Septiembre-Diciembre 2022 - pp. 95-116 - ISSN 1794-3108 - Bogotá, D. C., Colombia 116