Delitos informáticos

Pasos para implementar la ley de delitos informáticos

en el MPD de la empresa

Nombre: Andrés Pumarino M.

Fecha: 30 de noviembre de 2022
Evento: Webinar
 Temario

1. Antecedentes de la ley 21.459

2. Análisis de las figuras delictivas de la ley
3. Conducta y acciones recomendadas para la organización
4. Recomendaciones
5. Conclusiones

03
 Evolución ciberseguridad
IOT
Inteligencia Artificial.
Aparición de los
Ataques sobre redes Internet 5G.
primeros virus.
corporativas.
Comercialización de Ciberataques
Fraudes on line. sofisticados.
antivirus.
Redes sociales. Ciberdefensa
Seguridad física en
áreas importantes. Robo de información. preparada.

1980 2000 2022

1970 1990 2010

Seguridad física Primeros ataques a través Aumento de los dispositivos
obsoleta. de internet. móviles.
Poco control sobre la Uso de internet sin Fuga de información
información. conciencia de seguridad. corporative a través de
móviles.
Dependencia de los
proveedores. Legislación sobre protección
de infraestructuras TI.
Uso de dispositivos de
almacenamiento poco Uso de herramientas de
seguros cifrado de información.
Educación sobre seguridad
a los colaboradores.
Minería de Criptomonedas.
 Principales Amenazas

Uso
Ataques sobre Ciberespionaje Inadecuado por
aplicaciones e parte de
infraestructuras colaboradores

Impacto

Denegación de Continuidad de Sustracción Fraude Daño

Servicios Negocios de Económico Reputacional
información
01
01
03
Título I: “De los delitos informáticos y sus sanciones”
Artículo 3º
Artículo 2º
Artículo 1º Receptación de datos
Falsificación informática informáticos

Ataque a la Integridad de los ● Indebidamente altere datos. ● Transferencia o

datos informáticos
● Alteración indebida datos
● Presidio menor en su grado
medio.
● Siempre que cause un daño
grave al titular.
● Presidio menor en sus grados
medio a máximo.
● Para el caso de empleado
público presidio menor en su
grado máximo a mayor en su
grado mínimo.
almacenamiento ilícito que
venga de los artículos 2º,
3º, 5º
● Pena asignada a los
respectivos delitos rebajada
en un grado.

01
Título I: “De los delitos informáticos y sus sanciones”

6º FRAUDE INFORMÁTICO
Frente a la manipulación de un sistema informático buscando obtener un beneficio económico ya
sea personal o para un tercero.
1) Presidio menor en sus grados medio a máximo y multa de 11 a 15 UTM cuando el valor del
perjuicio exceda 40 UTM.
2) Presidio menor en su grado medio y multa de 6 a 10 UTM si el valor del perjuicio excede las 4
UTM pero no supera las 40 UTM.
3) Presidio menor en su grado mínimo y multa de 5 a 10 UTM si el valor del perjuicio no excede las
4 UTM.
4) Si el perjuicio excede las 400 UTM aplica presidio menor en su grado máximo y multa de 21 a 30
UTM.

02
 Título I: “De los delitos informáticos y sus sanciones”

Artículo 7º

Abuso de dispositivos
● Para quien entrega u
obtiene dispositivos,
programas, contraseñas, etc.
● Presidio menor en su grado
mínimo y multa de 5 a 10
UTM.

03
Título I: “De los delitos informáticos y sus sanciones”

8º CIRCUNSTANCIA ATENUANTE ESPECIAL

Que permita la rebaja de la pena hasta en un grado:

1) La COOPERACIÓN EFICAZ que conduzca a establecer los hechos investigados que constituyan el
delito investigado, entendiéndose como suministro de datos o informaciones precisas,
verídicas y comprobables.
2) Para esto, el Ministerio Público determinará en el escrito de acusación si la cooperación fue
eficaz.
3) La reducción de la pena se determina posterior a la individualización de la sanción penal.

04
Título I: “De los delitos informáticos y sus sanciones”

9° CIRCUNSTANCIAS AGRAVANTES
1) Cometer el delito abusando de una posición de confianza en la administración del sistema
informático en razón de un CARGO O FUNCIÓN.

2) Cometer el delito abusando de vulnerabilidad, confianza o desconocimiento de niños, niñas,

adolescentes o adultos mayores.

3) Para el caso en que el resultado de la comisión de dichas conductas se afecte la provisión o

prestación de servicios de utilidad pública (electricidad, gas, agua, transporte,
telecomunicaciones, etc), la pena aumentará en UN GRADO.

05
Título II: “Del procedimiento”

11º SOSPECHA DE COMISIÓN O PARTICIPACIÓN

Cuando en la investigación de los delitos contemplados en los artículos precedentes hiciera
imprescindible y existan sospechas fundadas por hechos determinados de participación o
comisión, tendrá que presentar el juez de garantía por petición del Ministerio Público un informe
detallado respecto de los hechos y la posible participación.

● La orden debe indicar el nombre real o alias y la dirección física o electrónica del afectado.
La orden puede ser prorrogada por el juez.

● Se podrá ordenar a funcionarios policiales actuar bajo identidad supuesta en

comunicaciones mantenidas en canales de comunicación cerrados con el fin de esclarecer
los hechos.

06
Disposiciones finales
Título III: Disposiciones finales
Artículo 15º: conceptos

Datos
informáticos:
“Toda representación de
hechos, información o
conceptos expresados en
cualquier forma que se preste
a tratamiento informático,
incluidos los programas
diseñados para que un
sistema informático ejecute
una función”.
Sistema
informático:
“Todo dispositivo aislado o
conjunto de dispositivos
interconectados o
relacionados entre sí, cuya
función, o la de alguno de sus
elementos, sea el tratamiento
automatizado de datos en
ejecución de un programa”.
Prestadores de
servicios:
“Toda entidad pública o
privada que ofrezca a los
usuarios de sus servicios la
posibilidad de comunicar a
través de un sistema
informático y cualquier otra
entidad que procese o
almacene datos informáticos
para dicho servicio de
comunicación o para los
usuarios del mismo”.

09
Título III: Disposiciones finales

Artículo 17º
Artículo 16º
Deroga
Autorización e ● La ley Nº19.223, toda
Investigación académica referencia legal o
● Se puede tener acceso a reglamentaria a dicho
un sistema informático cuerpo legal debe
con la autorización entenderse hecha a esta
expresa del titular del ley.
mismo.

10
Título III: Disposiciones finales

18º MODIFICACIONES AL CÓDIGO PROCESAL PENAL

● 1) Se agrega el artículo 218 bis:

“Preservación provisoria de datos informáticos. El Ministerio Público con ocasión de una investigación
penal podrá requerir, a cualquier proveedor de servicio, la conservación o protección de datos informáticos
o informaciones concretas incluidas en un sistema informático, que se encuentren a su disposición hasta
que se obtenga la respectiva autorización judicial para su entrega. Los datos se conservarán durante un
período de 90 días, prorrogable una sola vez, hasta que se autorice la entrega o se cumplan 180 días. La
empresa requerida estará obligada a prestar su colaboración y guardar secreto del desarrollo de esta
diligencia.”.

● 2) Se suprime en el inciso primero del artículo 223, la expresión “telefónica”

● 3) Se reemplaza en el artículo 225, la voz “telecomunicaciones”, por “comunicaciones”

11
Título III: Disposiciones finales
Artículo 21º
Artículo 20º
Artículo 19º Modifica Ley Nº20.393
Modifica Ley Nº18.168
● Incorporando la sanción a
Modifica la Ley Nº19.913 ● Agregando la sanción por los delitos informáticos.
vulneración del deber de
● Incorporando la reserva o secreto al acceder o
referencia a la sanción a difundir la información
los delitos informáticos. señalada por la norma.

12
Artículos transitorios
 Artículo primero
SOBRE LA APLICACIÓN DE LA LEY.
● Los hechos que se perpetraron con anterioridad a la entrada en vigor de la
ley se determinará conforme a la ley vigente en su momento.

● Si la ley entra en vigor durante la perpetración del hecho, se le aplicará

siempre que en la fase de perpetración posterior se realice íntegramente la
nueva descripción legal del hecho.

● Si la aplicación de esta ley es más favorable al imputado, se estará dispuesta

a esta.
Entendemos por PERPETRADO el momento o lapso en el cual se ejecuta la acción
punible o se incurre en la omisión punible.

14
 Artículo segundo
CUANDO COMIENZA A REGIR (Artículo 18)

● Este artículo comenzará a regir transcurridos SEIS MESES desde su publicación en el

Diario Oficial de un reglamento dictado por el Ministerio de Transportes y
Telecomunicaciones, suscrito además por el Ministro del Interior y Seguridad
Pública.
● Este reglamento debe dictarse dentro del plazo de SEIS MESES desde la publicación
en el Diario Oficial.

Artículo tercero
CUANDO COMIENZA A REGIR (Artículo 19 y 20)

● Estos artículos comenzarán a regir transcurridos SEIS MESES desde la publicación de

la ley en el Diario Oficial. (Ley 19.913 y 20.393)

15
Sobre los delitos informáticos
 ARTÍCULO 1°
Ataque a la integridad de
un sistema informático.
- Impedir, obstaculizar total
o parcialmente.
- Conocido como el hackeo,
modificación de un
Los 7 mayores de la historia:
sistema informático,
Gusano Morris (1988) delito de resultado que
requiere alterar el normal.
Yahoo!, Amazon, eBay (2000)
funcionamiento de un
Code Red (2001) sistema informático
- Presidio menor en su
SQL Slammer (2003)
grado medio a máximo.
Contra Sphamhaus (2013)
DynDNS (2016)
Contra GitHub (2018)
17
CASO ATAQUE CASO NO
CUMPLIMIENTO
Alguien intenta detener Alguien se infiltró en
nuestra operación. nuestros sistemas y está
atacando a otros.
- Conocido como - Lo que se conoce como
denegación de servicio Botnet.
(DoS). - Incluso puede ser sólo
- Ataque de un para enviar email tipo
Ransomware. Phishing a otros.
- Bloqueo de algún sistema - ¿Qué responsabilidad
(facturación). tenemos?
- ¿Qué hacer?, ¿A quién
acudir?, ¿Cuál es el O puede alguien desde el
alcance?. interior realizar un ataque a un
competidor en forma dolosa.
 ARTÍCULO 2°
Acceso ilícito
- Acceder sin autorización a un
sistema informático.
- Se penaliza únicamente el
acceso indebido, sin la
necesidad de alteración o sin
considerar el ánimo de dicho
acceso.
- Si se considera el ánimo del
ingreso indebido (apoderare o
usar la información) para
efectos de aumentar la pena.
- También hay aumento de pena
para quien divulge la
información.
18
CASO ATAQUE
Alguien a través de un Phishing
captura contraseñas de un mail
- Roba información.
- Escala privilegios.
- Intenta hacer fraudes del tipo
CEO.
- Altera documentación.
- Falsifica documentos para
estafar a terceros.
- ¿Que hacer?, ¿Cómo cuidarnos?
CASO NO CUMPLIMIENTO
Conseguir accesos a sistemas
externos para obtener información
privilegiada.
- Alguien de nuestros
colaboradores accede
ilícitamente a algún sistema de
la competencia para extraer
información privilegiada.
- Alguien puede infiltrar nuestros
sistemas para desde este punto
acceder a otros.
- Nuestro modelo de prevención
de delitos, ¿Considera estos
casos?.
 ARTÍCULO 3°
Interceptación ilícita
- De información no pública.
- Interceptación o espionaje
de comunicaciones y datos
de sistema informático.
- Presidio menor en su grado
medio.
- Captación de datos, Presidio
menor en su grado medio a
máximo.
19
CASO ATAQUE
Alguien interviene algún dispositivo
(pc, móvil, etc) para captar
información
- Para capturar información
privada.
- Tenemos normas sobre
clasificación de información.
- Encriptación de datos está
en nuestros procesos.
- ¿Cómo nos cuidamos de
terceros?
CASO NO CUMPLIMIENTO
Alguien de nuestros colaboradores
logra interceptar información de
nuestra competencia
- Le llega a él, usa algún
medio digital para obtenerla,
qué objetivo tuvo, era
privada o pública esa
información, cuándo la
obtuvo…
- Directamente considerado el
espionaje industrial….
- ¿Tenemos los medios para
prevenirlo o las medidas de
mitigación?
 ARTÍCULO 4°
Ataque a la integridad de los datos
informáticos
- Hackeo con resultado
- Alteración indebida de
datos.
- Presidio menor en su
grado medio, siempre que
cause un daño grave al
titular.
20
CASO ATAQUE
Alguien falsifica datos en algún
sistema
- Generalmente para lograr
un fraude en la compañía o
a terceros.
- Se puede dar en datos
estructurados como no
estructurados.
- ¿Qué medidas tenemos
implementadas?, ¿Cómo
procedemos para probarlo?
CASO NO CUMPLIMIENTO
Un colaborador modifica los datos
de la competencia para tener una
ventaja en una licitación
- Bajo la presión de no haber
ganado ninguna licitación
hace ya tiempo, logra
acceso de alto privilegio y
altera documentos para
ganar licitación.
- ¿Nuestro modelo de
prevención de delito
contempla este caso?,
¿Nuestras normas internas
también lo cubren?
 ARTÍCULO 5° CASO ATAQUE CASO NO CUMPLIMIENTO

Falsificación informática Modificación de documentación Alteración de nuestra información

para hacer algún fraude financiera

- Indebidamente altere - Normalmente se alteran - Eventualmente para causar

datos, modificación de
datos informáticos,
requiere la intención de
que esos datos sean
tomados como auténticos.
- Presidio menor en sus
grados medio a máximo.
- Para el caso de empleado - ¿Qué controles podemos
público presidio menor en
su grado máximo a mayor
21 en mínimo.
documentos no
estructurados para
conseguir desvió de
fondos, transferencias o
incluso decisión de
inversión (alteración de
estados financieros).
implementar?, ¿Qué alertas
tenemos?.
u ocultar malas prácticas,
desvió de fondos u otras
causas, alguien realiza una
alteración de dicha
información financiera.
- ¿Tenemos los controles
necesarios?, ¿Hemos
automatizado alertas en
estos casos?
 ARTÍCULO 6°
Receptación de datos informáticos
- Asemeja la receptación del
Código Penal, pero aplicado
a los datos informáticos
tanto su transferencia o
almacenamiento,
provenientes de acceso
ilícito, interceptación ilícita
o falsificación de
información (artículos 2°, 3°,
5°).
22
CASO ATAQUE
Alguien nos a robado datos
confidenciales y los está usando
- Por ejemplo nuestra base
de clientes, nuestros
modelos de costos,
nuestros modelos de
descuentos, etc… Y los está
usando alguien de la
competencia.
- ¿Cómo podemos detectar
fugas?
- ¿Cómo podemos detectar el
uso de nuestra
información?
CASO NO CUMPLIMIENTO
Incorporación masiva de datos de
nuevos clientes a nuestra base de
datos.
- Un nuevo colaborador
entrega una base de datos
de cliente y la agregamos a
nuestros sistemas.
- Se verificó el origen, la
forma en que fue obtenida,
etc…
 ARTÍCULO 7° CASO ATAQUE CASO NO CUMPLIMIENTO

Fraude informático Alteración de ctacte en sistema de Alguien interviene algún sistema

tesorería para desvío de fondos nuestro para lograr defraudar a un
tercero

- Nuevo delito, tiene los - Mediante un cambio de - Poco probable, que una
requisitos de la estafa en el destinatarios en ctas ctes empresa pueda realizar para
CP, y su graduación de la en nóminas de pago, su beneficio un fraude
pena según el valor. El desvían fondos, informático.
último inciso asimila generalmente a cuentas
participación con autoría. hackeadas de terceros que - Alguien puede usar para
- Presidio menor en sus grados medio a
máximo y multa de 11 a 15 UTM cuando el
luego hacen compras de realizarlo y esconder el
valor del perjuicio exceda 40 UTM. criptomonedas. origen… Sin embargo, puede
- Presidio menor en su grado medio y multa
de 6 a 10 UTM si el valor del perjuicio
ser acusado sino tenemos
excede las 4 pero no 40 UTM. - ¿Qué controles hay en los los medios probatorios.
- Presidio menor en su grado mínimo y
multa de 5 a 10 UTM si el valor del perjuicio
sistemas?, ¿Hay sistemas
no excede 4 UTM. antifraudes implementados?
- Si el perjuicio excede las 400 UTM, presidio
23 menor en su grado máximo y multa de 21 a
30 UTM.
 ARTÍCULO 8°
Abuso de dispositivos
- Se incluye como nuevo
penalizar a quién, para
realizar delitos informáticos,
o clonación de tarjetas,
entregare u obtuviere uno o
más dispositivos, programas,
contraseñas, códigos de
seguridad, etc. que sirvan
para realizar el delito.
- Presidio menor en su grado
mínimo y multa de 5 a 10
UTM.
24
CASO ATAQUE
Alguien alterna un dispositivo
nuestro para cometer algún delito.
- Alguien clona tarjetas de
acceso a alguna instalación
para sustraer información
confidencial o alterarla.
- O, alguien logra intervenir
un sistema (programa) para
desviar información o robar
información.
- ¿Controles que nos permitan
detectarlos?, ¿Chequeo de
consistencia de programas?
CASO NO CUMPLIMIENTO
Un colaborador obtiene una
contraseña de un sistema de la
competencia y le roba información.
- Nuestro modelo de
prevención de delitos es
explícito en estos casos,
tenemos los controles
necesarios y suficientes para
detectar a tiempo.
- En caso de que se produzca,
tenemos los medios
probatorios para
defendernos.
 NCG 461 – ESG (CMF)

04
3.9 Compañías Eléctricas y Generadoras Eléctricas
Punto 3.22. Sobre Servicios de Telecomunicaciones
3.22. Servicios de Telecomunicaciones
Recomendaciones finales
PRINCIPIO I: “El directorio deben comprender y abordar la ciberseguridad como un problema de gestión de riesgos
en toda la empresa, no solo como un problema de TI”.

● Los riesgos cibernéticos deben evaluarse de la misma manera en que una organización evalúa la
seguridad física de sus activos humanos y físicos y los riesgos asociados con su posible compromiso,
es una gestión de riesgos en toda la empresa.

● Las juntas directivas tendrán que garantizar que la gerencia evalúe la ciberseguridad no solo en lo
que refiere a las propias redes de la organización, sino que también en relación con el ecosistema
más grande en el que se opera.

¿Cómo se debe organizar a la junta para esta gestión?

Es importante que éstas comprendan la naturaleza del entorno de amenazas de su empresa, dado que
no hay un enfoque único que se ajuste a todas a la vez. La ciberseguridad tendrá que integrarse en los
análisis de negocios tal como se integran cuestiones legales y financieras, informando al menos de
manera semestral.
PRINCIPIO II: “Los directores deben entender las implicaciones legales de los riesgos cibernéticos según se
relacionan con las circunstancias específicas de su empresa”.

● Las juntas tendrán que estar al tanto de las cuestiones de responsabilidad actuales que están enfrentando
sus organizaciones, esto deriva de los ataques de alto perfil.

● Deberán cumplir con su diligencia debida, la cual se ve en consideraciones como:

- Mantener registros de las discusiones sobre la ciberseguridad y los riesgos cibernéticos;
- Mantenerse informadas sobre los requisitos específicos de la industria, la región y el sector que se aplican a
la organización, incluidas las leyes y los requisitos que podrían establecerse a nivel regional, estatal y local;
- Analizar los riesgos en evolución en relación con la resiliencia empresarial y los planes de respuesta;
- Determinar de antemano qué revelar después de un ataque cibernético.

Teniendo en cuenta la discusión de la junta y actas, las cuales tienen que reflejar las veces en que la
ciberseguridad estuvo en agenda, el panorama legal global, las normativas de privacidad y protección de datos,
requisitos de tecnología financiera, requisitos de “notificación a la autoridad”, el papel del asesor legal y litigios
que pudieran existir a raíz por ejemplo de una violación de datos.
PRINCIPIO III: “Las juntas deben tener un acceso adecuado a la experiencia en ciberseguridad y se le debe
proporcionar un tiempo regular y adecuado a las discusiones sobre la gestión de riesgos cibernéticos en las
agendas de las reuniones de la junta.

● Ocurre que las juntas no saben a dónde acudir para abordar la ciberseguridad en sus
empresas, por lo que hacerse cargo de este problema toma un papel muy importante, para lo
que se propone:

- Mejorar el acceso a la experticia en ciberseguridad

- Lograr acceso a una experticia adecuada en ciberseguridad
- Mejora de los informes de gestión a la junta
PRINCIPIO IV: “Los directores de la junta deben establecer la expectativa de que la gerencia establecerá un marco
de gestión de riesgo cibernético para toda la empresa con personal y presupuesto adecuados”.

La función de gobernanza es vital en relación con la ciberseguridad, para esto se propone:

- La creación de un enfoque general para la gestión del riesgo cibernético

- Marco de controles técnicos para la gestión de riesgos

- Un marco de gestión para la ciberseguridad

- Un enfoque integrado para la gobernanza del riesgo cibernético

* Que establezca la propiedad del riesgo cibernético sobre una base interdepartamental
*Nombre a un equipo de gestión de riesgos cibernéticos
*Que este realice una evaluación de riesgos orientada al futuro
*Que considere que leyes y regulaciones que difieran significativamente entre jurisdicciones y sectores
*Adopte un enfoque de colaboración para el desarrollo de informes para la junta
*Desarrolle y adopte un plan de gestión de riesgos cibernéticos para toda la organización
*Desarrolle y adopte un presupuesto total de riesgo cibernético con recursos suficientes para satisfacer las necesidades y el apetito
de riesgo de la organización
PRINCIPIO V: “La discusión del directorio sobre el riesgo cibernético debe incluir la identificación de qué riesgos
evitar, cuáles aceptar y cuáles mitigar o transferir a través de un seguro, así como planes específicos asociados con
cada abordaje”.
● La ciberseguridad total es un objetivo poco realista, pues es un proceso continuo y no un estado final.

● Apetito de riesgo: cantidad de riesgo que una organización está dispuesta a aceptar para lograr objetivos
estratégicos o aquel que la organización no está dispuesta a aceptar en absoluto. Se le da importancia a este
concepto porque es fundamental para el enfoque de riesgos, el poder definir y comunicar adecuadamente, es el
impulso a establecer los límites para administrar el negocio y capitalizar oportunidades.

Deben realizarse las siguientes preguntas:

- ¿Qué datos, sistemas y operaciones comerciales estamos dispuestos a perder o ver comprometidos?
- ¿Cómo deben asignarse las inversiones en mitigación del riesgo cibernético entre las defensas básicas y avanzadas?
- ¿Qué opciones están disponibles para ayudarnos a mitigar ciertos riesgos cibernéticos?
- ¿Qué opciones están disponibles para ayudarnos a transferir ciertos riesgos cibernéticos?
- ¿Cómo debemos evaluar el impacto de los incidentes de ciberseguridad?
 COMENTARIOS FINALES

● La ciberseguridad no sólo es materia de los expertos

informáticos

● Es una materia multidimensional que involucra de manera

transversal a diversas áreas en una organización, tales como,
informática, auditoría, jurídica, operacional y riesgos

● Si queremos la continuidad de las operaciones en la

organización, ellas deben trabajar mancomunadamente
previniendo eventuales ataques

, LOS DIRECTORES DE EMPRESAS DEBEN

CONOCER DE ESTE ESCENARIO.
03
 COMENTARIOS FINALES

1. 1. Cambios normativos no bastan.

2. 2. Falta de competencias digitales en todo nivel.

3. 3. Necesidad de actualización tecnológica y seguimiento.

4. 4. Modernización del área de auditoría para que asuma

control y seguimiento al área TI.

5. 5. Apoyo, buenas prácticas locales o internacionales,

cooperación internacional es vital.

03
PROYECTOS Y LEYES EN TECNOLOGÍA
Gracias
Andrés Pumarino – Legaltrust
Abogado

apumarino@legaltt.com