Delito Informatico
Delito Informatico
RESUMEN
1. Concepto y evolución de los virus informáticos. 2. Aplicación del Código Penal
argentino a los virus informáticos. 3. Necesidad de tipificar el delito de daño informatico
y el de creación o difusión de virus informático. 4. Los virus informáticos como protec-
ción de la propiedad intelectual y los negocios contractuales. 5. Responsabilidad civil
por la propagacion de un virus informatico. 6. Legislación sobre daño informatico y
virus en el derecho comparado. 7. Conclusiones. Bibliografía.
PALABRAS CLAVE: Virus informático. Daño. Informática. Internet. Interrupción de
comunicaciones. Derecho comparado.Argentina. Ciberdelito.
ABSTRACT
El autor examina la aplicación de las normas del código penal argentino al accionar de
un virus informático.
KEYWORDS: Computer virus. Crime. Internet. Damage.
The author analyzes the applicability of the criminal laws of argentina to computer
virus actions.
* Abogado (UCA y NY State Bar Assoc) y LLM en Fordham University Law School. Se ha
especalizado en derecho y nuevas tecnologías de la información. Ha escrito sobre esta materia
numerosos artículos y varios libros. Fundador del Foro de Habeas Data y Protección de Datos
Personales.Agente de Propiedad Industrial. Profesor Facultad de Derecho Universidad Austral
de Argentina. Consejero Centro de la Propiedad Intelectual de la Universidad Austral. Ex
Secretario Letrado de la Corte Suprema de Justicia de la Nación. Fundador de la Revista
Derecho y Nuevas Tecnologías. e-mail: [email protected] - [email protected]
Agosto de 2006 Universidad de los Andes Facultad de Derecho 61
Pablo A. Palazzi
cieron con éxito. Al despuntar 1985, la revista Scientific American recogía los lamen-
tos de Richard Skrenta, estudiante de secundaria de Pittsburg cuya creación (un
virus para la computadora Apple) había corrompido no solo los diskettes de su casa,
sino también los de su escuela y consecuentemente los de todos sus compañeros.
Reconocía haber desarrollado un antídoto mucho menos eficaz que el virus de su
propia autoría4.
En la edición del 28 de junio de 1988, la revista norteamericana PC Magazine
publicó un reporte en el cual citaba alguno de los casos mas interesantes y también,
más desastrosos de la industria. Los escépticos insistían en que la alarma producida
por los virus estaba sobredimensionada, basándose en que se trataba de informacio-
nes no confirmadas, imposibles de rastrear. La revista en cuestión, mencionaba casos
como la introducción de un virus que había penetrado y virtualmente “apagado” el
sistema computacional de defensa israelí; o uno que infectó el centro de computación
de la universidad de Lehigh; también el virus Brain, que atacó a los ordenadores
compatibles con IBM y el Scores que atacó a las computadoras Macintosh de la
Universidad de Miami; también el Scores afectó a la enorme firma de computación
EDS (una subsidiaria de la General Motors), la que, justamente, garantiza —como uno
de sus servicios—, la seguridad de los datos de sus clientes.
Desde 1987 hicieron su aparición los primeros virus mas conocidos (Jerusalém
—llamado así porque fue descubierto en los ordenadores de la Universidad
homónima—, el Virus Brain, Datacrime, Datacrime II, Datacrime IIB y numerosos
otros). Estos primeros virus causaron pérdidas millonarias. A estas alturas nadie
podía ignorar los acontecimientos. Los virus habían dejado de ser una “diversión” o
un “juego” de programadores, para transformarse en una molestia, un obstáculo para
el desarrollo de la informática e incluso un delito informático.
En 1996 ya se hablaba de mas de diez mil versiones de virus distintos. Además
hicieron su aparición los virus polimórficos, que tienen la capacidad de no ser detec-
tados al mutar su código en forma aleatoria. Actualmente hay virus que atacan los
telefonos celulares y las “palms” o agendas de bolsillo. A fines del 2003 la página de
una conocida empresa antivirus señalaba la existencia de por lo menos 81.000 versio-
nes de programas dañinos entre versiones principales, modificaciones y falsos virus,
tales como los Hoax, o las cadenas de mensajes falsos. En enero de 2006, al empresa
McAfee informaba de la existencia de 150.000 virus, agregando que cada mes apare-
cen cerca de 500 nuevos virus y amenazas a través de Internet5.
Estos últimos años han registrado cientos de episodios de hackers y ataques
relacionados con los virus, cuyo accionar obviamente se ve potenciado por
4 http://virus.dst.usb.ve/article/articleprint/34/-1/6/
5 Ver http://vil.nai.com/vil/default.asp
Agosto de 2006 Universidad de los Andes Facultad de Derecho 63
Pablo A. Palazzi
Internet6. Por ejemplo el caso del Virus Melisa, que desde Canadá infectó a ordenado-
res en varias partes del mundo o el caso del Virus “I Love you”, que fue rastreado hasta
Filipinas por el FBI. Las finalidades no son sólo de diversión. A veces contienen
mensajes políticos. A fines del 2001, aparecieron varios virus que invocaban de una u
otra manera a Osama ben Laden. A veces son motivados por pura maldad o intereses
económicos. El virus PGPCoder, por ejemplo, se introduce en el sistema a través de
una vulnerabilidad en el Internet Explorer y encripta todos los documentos (.doc y
.xls), pidiendo dinero a cambio de la contraseña. El virus SoBig transforma millones
de computadoras en repetidoras de spam, saturando la red.
Hay virus que sustraen documentos de los ordenadores que infectan, o que buscan
determinados tipos de archivos y los destruyen o que distribuyen archivos personales
a terceros al azar.
Como es dable apreciar, la problemática de los virus no solo alcanza al bien
jurídico patrimonio —por el daño a la información— sino también a otros bienes
jurídicos como los secretos comerciales e industriales, la seguridad de las empresas y
de individuos y hasta la privacidad de los datos personales de terceros.
Los virus hoy día se han expandido a todos los ámbitos de la informática y las
telecomunicaciones funcionando en las mas diversas plataformas y sistemas. Es posi-
ble encontrarlos infectando los programas macro en procesadores de texto y planillas
de cálculo, en las redes de distribución y servicios de intercambio de archivos (tales
como KaZaA, Bit Torrent u otras basadas en tecnología peer to peer), canales de chat
(IRC), las redes de teléfonos celulares digitales (smartphones), los sistemas de mensajería
instantánea, y constantemente siguen apareciendo “worms” y spyware que instalan
programas y rutinas en forma subrepticia con otra finalidad, generalmente de publi-
cidad, y que suelen equipararse a los virus. Los programas se infiltran a través de
páginas web, de bugs en los programas de clientes de correo o en los servidores de
Internet, y producen las mas variados resultados con sus rutinas de daños.
Todo este fenómeno no podía pasar desapercibido para el derecho penal. Tanto en
Argentina como en el extranjero se formularon denuncias que obligaron a los tribu-
nales a pronunciarse sobre estos hechos. En algunos países también se aprobaron
leyes especiales para contemplar estas nuevas modalidades delictivas.
En el año 1993, un tribunal tuvo que decidir si el borrado manual por una
persona de datos almacenados en un disco rígido podía encuadrar dentro del delito
de daño, efecto que es el que generalmente buscan o producen los virus. Si la respuesta
es afirmativa, gran parte del accionar de los virus informáticos quedaría cubierta por
esta interpretación. A partir del año 2001 los casos de virus y daño informático
fueron mucho mas frecuentes.
7 C. Nac. Crim. y Corr., sala 6ª, 30/4/1993, - Pinamonti, Orlando - JA 1995-III-236 y nuestro
comentario al fallo publicado en el mismo lugar. El mismo criterio se repite en C. Nac. Crim. y
Corr., sala 6ª, 30/08/2001- “CÚNEO LIBARONA, Rafael”, donde se investigaba la sustracción de
datos informáticos de una base de datos.-
8 Esta norma dispone “183. Será reprimido con prisión de quince días a un año, el que
destruyere, inutilizare, hiciere desaparecer o de cualquier modo dañare una cosa mueble o
inmueble o un animal, total o parcialmente ajeno, siempre que el hecho no constituya otro
delito más severamente penado”.
9 C. Nac. Crim. y Corr., sala 1ª, 20/7/2001 - Vecchio, Pablo A., documento Lexis Nº 60002183.
Agosto de 2006 Universidad de los Andes Facultad de Derecho 65
Pablo A. Palazzi
tante destacar que la persona que insertó el virus fue filmada por las cámaras del
banco, existiendo por ende registro en la filmación y en los “logs” de conexión de la
introducción del virus con fecha en ambos casos. El imputado había reconocido ser
la persona que estaba en el video lo que la Cámara tuvo en cuenta para confirmar el
procesamiento.
El juez de instrucción sobreseyó a los imputados del delito previsto en el art. 72 de
la ley 11.72310 (reproducción ilícita de software) y en atención a las penas se declaró
incompetente y remitió las actuaciones al fuero correccional. En esa instancia la
querella solicitó la realización del juicio y el magistrado correccional dictó un fallo
muy extenso y completo en el cual concluyó que la conducta investigada no consti-
tuía delito penal11.
En el citado fallo se reconoce que la energía eléctrica puede ser objeto de delitos
contra la propiedad, como el hurto y robo, lo que en alguna medida implicó recono-
cerle —al menos a los efectos penales— las calidades de la cosa.
Luego se recuerda que la “información” contenida en un programa o “documento
informático” puede ser medida y evaluada, además de que dicho campo magnético se
aloja en el soporte que efectivamente es un objeto material, con lo que constituye una
característica más de por qué podríamos asimilar la “información” a las disposicio-
nes referentes a las cosas. Y se agrega que el delito de daño no es aplicable al borrado
de información, en razón de que no se encuentra expresamente tipificado en nuestro
Código Penal, resultando en consecuencia necesaria una modificación o la aproba-
ción de los proyectos de ley oportunamente presentados ante el Poder Legislativo que
así lo permitan porque de lo contrario se vulnerarían disposiciones de raigambre
constitucional (art. 18 C.N.).
Tal conclusión se funda en un argumento legislativo: el legislador puedo haber
modificado la ley y no lo hizo. En concreto el fallo dice que: “...aun cuando en la
especie se considerasen reunidos los verbos típicos establecidos en el Código Penal
10 Esta norma dispone que “Sin perjuicio de la disposición general del artículo precedente
se considerarán casos especiales de defraudación y sufrirán la pena que él establece, además del
secuestro de la edición ilícita:
a) El que edite, venda o reproduzca por cualquier medio o instrumento, una obra inédita o
publicada sin autorización de su autor o derechohabiente;
b) El que falsifique obras intelectuales, entendiéndose como tal la edición de una obra ya
editada, ostentando falsamente el nombre del editor autorizado al efecto;
c) El que edite, venda o reproduzca una obra suprimiendo o cambiando el nombre del
autor, el título de la misma o alterando dolosamente su texto;
d) El que edite o reproduzca mayor número de los ejemplares debidamente autorizados”.
11 Juzg. Corr., n. 9, Secretaría n. 65, 14/4/2004 - Vecchio, Pablo A., sentencia de la Dra.Ana
Díaz Cano, publ. en Revista Derecho y Nuevas Tecnologías Nos. 6/7,Ad Hoc, 2006.
66 Agosto de 2006 Universidad de los Andes Facultad de Derecho
Análisis legal del accionar de un virus informático en el derecho penal argentino y comparado
para el delito de daño, y la ajenidad del objeto (por decirlo de algún modo), lo cierto
es que éste debe tratarse de una cosa, no cualquiera, sino una mueble o inmueble, o un
animal, o las que por ley le son equiparables, datos éstos que no se corresponden con
un ente inmaterial como es el dato informático, por más que se insista en su valor y
su factible apreciación, porque es la misma ley quien dejó de lado la cuestión, pese a
que tuvo la oportunidad de modificar la norma para delimitar y describir conductas
como la aquí analizada”.
En concreto se concluye que “...fue el mismo ordenamiento legal (art. 2311, según
el texto de la ley 17711) quien vino aunque sólo a equiparar las disposiciones referen-
tes a las cosas, a la energía y a las fuerzas naturales, mas no a darles a éstas esa calidad
de cosa, ello así, siempre que sean susceptibles de apropiación, pero nótese que el
legislador penal, aun cuando conocedor de la existencia de la problemática de la
informática y de los perjuicios que conductas como la investigada podrían ocasionar,
optó por proteger otros bienes jurídicos a través de la creación de las correspondientes
normas, soslayando ampliar el tipo penal correspondiente al daño, cuando, a juzgar
por los antecedentes jurisprudenciales que se han citado en la materia, ya se conocían
los efectos que se producían desde esta óptica, e incluso existen proyectos legislativos
en tal sentido, motivo por el cual no es posible argumentar, como lo hicieron aque-
llos antiguos juristas respecto de la energía eléctrica, que el legislador quedó atrasado
frente a la tecnología de avance, por cuanto cuando dictó aquellas normas penales
basadas en la cuestión informática el “daño informático” era un dato de la realidad
por todos conocido”.
12 RIQUERT, M.A.Delitos Informáticos, pag. 322 en Derecho Penal de los Negocios (Carre-
ra, Daniel y Vázquez, H., directores),Astrea, 2005
Agosto de 2006 Universidad de los Andes Facultad de Derecho 67
Pablo A. Palazzi
14 C. Nac. Crim. y Corr., sala 1ª, 9/8/2002 - Debandi, Natalia, pub. en Bol. Int. de Jurisp. n. 3/
2002, p. 252.
15 C. Nac. Crim. y Corr., sala 6ª, 24/11/2003 - Kohler Antelo, Patricio, Boletín de Jurispru-
dencia n. 36.
16 Cámara Criminal y Correccional Federal, Sala II - Causa n° 22.600, 15/11/2005,“Marchione,
Gabriel Gustavo”.
Agosto de 2006 Universidad de los Andes Facultad de Derecho 69
Pablo A. Palazzi
17 Norma que dispone “197. Será reprimido con prisión de seis meses a dos años, el que
interrumpiere o entorpeciere la comunicación telegráfica o telefónica o resistiere violenta-
mente el restablecimiento de la comunicación interrumpida”.
70 Agosto de 2006 Universidad de los Andes Facultad de Derecho
Análisis legal del accionar de un virus informático en el derecho penal argentino y comparado
18 Cabe señalar que el mismo magistrado intervino en el año 2002 en el caso antes citado
de daño a la página web de la CSJN y allí concluyó, en sentencia firme de primera instancia que
no fue apelada por el ministerio público, que el reemplazo del archivo de dicho web site no era
delito penal.Ver Juzg. Nac. Crim. y Corr. Fed., n. 12, 20/3/2002 - Gornstein, Marcelo H. y otros
s/delito de acción pública, ED 198-506.-
19 C. Nac. Casación Penal, sala 4ª, 19/12/2002- Marchione, Gabriel, JA 2003-II-116.
Agosto de 2006 Universidad de los Andes Facultad de Derecho 71
Pablo A. Palazzi
cer que uno de los objetivos de los autores de esta abusiva actividad informática,
como así también la de las más ingenuas pero inútiles cadenas de correos que se re-
envían constantemente, es precisamente congestionar a los servidores de correos y las
comunicaciones por esta vía. Dejando de lado que la experiencia indica que el ingre-
sar un virus informático en la red de comunicaciones, al introducirse tanto en los
correos como en los soportes flexibles y demás instrumentos usuales de tráfico de
información electrónica, por la globalidad de la red, perjudica a un número ilimitado
de personas y el servicio de comunicación de manera general...” por cuya consecuen-
cia entendió que debía continuar interviniendo el fuero federal20.
Luego de ello, la Sala I de la Cámara Federal descartó que el hecho investigado
pudiera subsumirse en las figuras previstas en los artículos 183 y 197 del Código
Penal, o en otra figura penal, por lo que sobreseyó al imputado21. Esta decisión fue
apelada a la Cámara Nacional de Casación Penal.
En su resolución de fecha 18 de marzo de 2005, la Sala Cuarta de la Cámara
Nacional de Casación Penal dictó un importante fallo en el cual exigió un análisis
exhaustivo, en función de los hechos descriptos, de los posibles tipos penales en los
que pudiera encuadrar la conducta de Marchione, entre los que consignó a los artícu-
los 183, 184 (concretamente aludió a su inciso 5°) y 197 del Código Penal22.
La decisión de la Sala II de la Cámara Federal que comentamos analiza el encua-
dre de los hechos bajo dos delitos distintos: a) daño informático e b) interrupción de
las comunicaciones, y concluye que el hecho investigado encuadra en ambos. A nues-
tro juicio, éste es uno de los casos mas importantes en la materia por el profundo
análisis de las cuestiones que allí se plantearon.
a) Daño informático
23 El tribunal recuerda lo siguiente:“En este contexto deben valorarse los efectos causados
por el virus “Vanina” encontrado en los medios magnéticos analizados en el estudio pericial
practicado en la causa, donde se los describe como:“...modificación de los registros del sistema
de manera que se pierdan los enlaces de los programas con los archivos de uso más común, por
ejemplo, a partir de ese punto, ya no se podrá abrir un documento de Word haciendo doble clic
en el mismo....tampoco es posible ya navegar por Internet, debido a que queda desconfigurado
el Internet Explorer”.
Agosto de 2006 Universidad de los Andes Facultad de Derecho 73
Pablo A. Palazzi
fines al que estaba destinada. Concluye al respecto que “Este criterio de utilidad
desarrollado por la doctrina para describir una de las modalidades de la acción típica
de daño, impone percibir a la alteración o destrucción de instrumentos lógicos,
integradamente a su medio —soporte físico— y no en forma aislada, como pretende la
defensa, ya que la conducta realizada termina afectando, en definitiva, la función que
cumple el soporte, y atacando por ende, la utilidad que se pretende del sistema
informático en su totalidad, así como su valor de uso”.
En fin, con un criterio sumamente realista, y apoyado en la pericia realizada en el
caso finaliza diciendo “En el caso de autos el informe pericial da cuenta de ese trabajo
generado por la acción dañosa, al enumerar los efectos que causaron las conexiones
denunciadas, destacando, entre otros, la pérdida de mensajes de correo electrónico
debido a la necesidad de recuperar copias de seguridad de fechas anteriores por la
corrupción informática generada en los archivos de procesamiento de e-mails, caída
en los servidores, tareas de depuración manual de correos electrónicos usuario por
usuario, señalando que casi todos los puntos mencionados implicaban una carga
adicional de horas/hombre de trabajo...”.
El fallo interpreta que un “archivo informático” queda comprendido en el tipo
penal de daño agravado (art. 184 del C.P.24). Ello así por cuanto “el archivo
informático mantiene la sustancia del archivo «tradicional», esto es, las característi-
cas que permiten describirlo como tal, radicando su «novedad» sólo en el soporte
donde se encuentra almacenada la información”.
24 La norma dispone como agravante de la figura de daño (art. 183 del Cödigo Penal) que “La
pena será de tres meses a cuatro años de prisión, si mediare cualquiera de las circunstancias
siguientes:
l. Ejecutase el hecho con el fin de impedir el libre ejercicio de la autoridad o en venganza
de sus determinaciones;
2. Producir infección o contagio en aves u otros animales domésticos;
3. Emplear sustancias venenosas o corrosivas;
4. Cometer el delito en despoblado y en banda;
5. Ejecutarlo en archivos, registros, bibliotecas, museos o en puentes, caminos, paseos u
otros bienes de uso público; o en tumbas, signos conmemorativos, monumentos, esta-
tuas, cuadros u otros objetos de arte colocados en edificios o lugares públicos”.
74 Agosto de 2006 Universidad de los Andes Facultad de Derecho
Análisis legal del accionar de un virus informático en el derecho penal argentino y comparado
25 El concepto del tribunal es muy amplio. El tipo penal se refiere a “comunicación telegrá-
fica o telefónica” pero hoy en día las comunicaciones a través de Internet por medio de banda
ancha —cable módem o servicio ADSL- o redes wi-fi parecen algo muy distinto. Por otra parte
cabe preguntarse, frente al fenómeno de la convergencia, cómo encuadrar en estas categorías el
uso de telefonía a través de Internet (VoIP). ¿Se trata de una comunicación telefónica tradicional
a través de Internet o un nuevo medio de transportar la voz distinto a la telefonía?
26 Se cita C.N.C.P., Sala IV, causa n° 4447, reg. 6452.4 de fecha 18-3-05.
27 En la jerga informática se habla del “peso” de un archivo para referirse a su extensión
medida en Kbytes o en Megabytes.
28 Ver ARRECHE, María Karina, Internet y el bloqueo de servicios (o “denial of service
attacks”), en Derecho Informático 1, pag. 59, Iuris.
Agosto de 2006 Universidad de los Andes Facultad de Derecho 75
Pablo A. Palazzi
inutilizare, hiciere desaparecer o de cualquier modo dañaré una cosa mueble o inmue-
ble o un animal o intangible, total o parcialmente ajeno, siempre que el hecho no
constituya otro delito más severamente penado”.
4. Los virus informáticos como protección de la propiedad intelectual y los nego-
cios contractuales
Los virus informáticos pueden ser usados como una herramienta para la protec-
ción de los derechos intelectuales y los negocios contractuales. Pero no siempre estas
conductas pueden resultar ajustadas a derecho.
Si un programador inserta un virus en un programa a fin que, en caso de copia, el
mismo se active y destruya la información existente en el ordenador es posible conside-
rar la situación como un daño informático además de un abuso de derecho (art. 1071
Código Civil). Si bien el titular de la obra de software está en su derecho de proteger sus
intereses como autor o dueño, dicha facultad no debe extenderse más allá de lo que
razonablemente expliciten las leyes, o el contrato que lo relacione con el usuario.
Así, cabe plantearse la situación de que el sistema de seguridad anti-copia —cono-
cidos generalmente como dispositivos de “self-help”— sólo se limite a borrar o detener
el programa dejando intactos los datos del usuario. En tal situación el productor de
software no está —a nuestro entender- infringiendo norma de derecho penal alguna
para el caso que haya previsto esta facultad en el contrato de licencia, y no haya
transferencia de propiedad del software ni de las copias. Si bien la vía correcta en ese
caso es demandar judicialmente el secuestro y destrucción de la copia ilegítima, luego
de revocar la licencia.
Por último cabe tratar aquí el caso del programador que usa un virus como medio
extorsivo para forzar el cobro de sus honorarios. Suele suceder que luego de la confec-
ción de un sistema a medida, el programador exige el pago de lo pactado, y ante la
reticencia de la empresa se activa un software dentro del propio sistema que detiene el
funcionamiento del programa o lo borra, incluyendo el sistema operativo. El cliente
queda como rehén del programador.
En estos casos, quien quiera reclamar el cumplimiento a la otra parte de un con-
trato debe iniciar las acciones legales pertinentes, pues de otra manera se coloca en
una posición de incumplimiento que le impide jurídicamente reclamar el cumpli-
miento a la contraparte (arg. Art. 1204 CC).
En los Estados Unidos el accionar descripto ha sido tipificado en algunos códigos
penales como delito, y existen casos de procesos penales por el uso de estos medios
por parte de programadores o empresas para forzar el pago de sus acreencias33. La
34 Ver Raymond T. NIMMER,The Law of Computer Technology, 7.33, pag 111 (2d ed. 1992);
Henry GITTER, Self-Help Remedies for Software Vendors, 9 Santa Clara Computer & High Tech.
L.J. 413 (1993); Stephen L. POE y Teresa L. CONOVER, Pulling the Plug:The Use and Legality of
Technology-Based Remedies by Vendors in Software Contracts, 56 Alb. L. Rev. 609 (1993); Lance
A. Raphael, Note,Teaching an Old Law a New Trick: Repossessing Software Through Disablement,
97 Com. L. League of Am. 276 (1992).
35 Esther C. Roditti, Is Self-Help a Lawful Contractual Remedy?, 21 Rutgers Computer &
Tech. L.J. 431 (1995), con detalle de los casos ocurridos en Estados Unidos.
36 El caso extremo es el CD rootkit de Sony BMG que incluyó en sus discos de música y que
al intentar escucharlos en una PC la contaminaban para evitar la copia de los archivos musicales.
La opinión pública fue tan fuerte que Sony se vio obligada en los Estados Unidos y en Canadá a
retirar todos los discos con el sistema XCP de protección del mercado. Pero se calcula que
cerca de medio millón de ordenadores aun poseen el software insertado subrepticiamente por
Sony. Estas actividades, a mi juicio, rozan el acceso ilegítimo y el daño informático.Ver para mas
información http://en.wikipedia.org/wiki/2005_Sony_CD_copy_protection_controversy
37 Gaceta Oficial No. 305, del 30 diciembre de1993.
38 El artículo 392 del Código penal italiano dice “Esercizio arbitrario delle proprie ragioni
con violenza sulle cose. Chiunque, al fine di esercitare un preteso diritto, potendo ricorrere al
giuduce, si fa arbitrariamente ragione da se’ medesimo, mediante violenza sulle cose, e’ punito
a querela della persona offesa, con la multa fino a lire un milione. Si ha, altresi’, violenza sulle
cose allorche’ un programma informatico viene alterato, modificato o cancellato in tutto o in
parte ovvero viene impedito o turbato il funzionamento di un sistema informatico o telematico”.
78 Agosto de 2006 Universidad de los Andes Facultad de Derecho
Análisis legal del accionar de un virus informático en el derecho penal argentino y comparado
el disquete a titulo de garantía por vicios ocultos en aplicación del art. 1641 del
código civil francés39.
En la apelación se alegó que el virus constituía el hecho de un tercero que presen-
taba las características de imprevisible e irresistible por lo cual la sociedad demanda-
da no debía responder.
La Corte de casación40 rechazó esta argumentación sobre la base que el fallo había
sostenido que el riesgo de contaminación por virus era un riesgo conocido en el ambiente
informático. Para así decidir se basaron en i) la abundante literatura existente en torno a
la detección y supresión de virus informáticos, ii) que la sociedad demandada había tam-
bién elaborado un programa antivirus, lo que confirmaba su pericia en este campo y su
calidad profesional y iii) que había procedido a controlar el disquete incluido en la revista,
demostrando que el control era usual y posible de realizar. Este fallo tiene importancia
como veremos, por el nivel de diligencia y responsabilidad que cabe exigir a un profesional
informático y a las empresas que manejan información, lo que en parte implica estar
amparado por un programa antivirus suficientemente actualizado.
Sin embargo la postura que aplica los vicios redhibitorios al software no resulta
mayoritaria en ese país. Al respecto André Bertrand sostiene que a causa de su natura-
leza particular, los conceptos de garantía y vicios ocultos (art. 1641 del CC francés)
no son aplicables al software de la misma manera que al equipo informático. Y señala
que la jurisprudencia admite que los programas de computación pueden estar afecta-
dos por errores, y tanto las costumbres como los contratos los distinguen en función
de su naturaleza y de sus defectos41.
Por ejemplo, un tribunal en Nueva York condenó al imputado por haber manipu-
lado un ordenador de un tercero, instalando una bomba lógica que hizo que el siste-
ma se “cayera” temporariamente45. Otro tribunal en el estado de Texas condenó a un
individuo por el delito de acceso y daño a un ordenador al haber usado un código
informático que afectó la información sobre pagos de salarios de una empresa46.
En el caso “In re Brandl”47, el actor demandó al operador de su sistema informático
y tenedor de sus libros comerciales, alegando que éste había insertado un virus informático
en su sistema operativo. La demanda de carácter civil se fundó en la teoría de la interfe-
rencia intencional con relaciones contractuales de terceros, pero como el demandado
no contestó la demanda, se emitió un fallo en su contra en rebeldía.
Algo similar ocurrió en Inglaterra. Una serie de casos ingleses había sostenido que
la acción de alterar un disco magnético constituía un daño a la propiedad ajena. En
el leading case inglés en la materia, el razonamiento fue similar al del caso
“Marchione”. El juez Lord Lane de la Corte de Apelaciones sostuvo que el interferir
con los datos o informaciones almacenados en un disco disminuía su utilidad y por
lo tanto constituía un daño a la propiedad amparable penalmente48. El tribunal
enfatizó el efecto tangible (disco y ordenador no utilizable) que tenía el menoscabo a
la propiedad intangible (los datos electrónicos).
Incluso, aunque un virus no destruya o altere la información, se considera que
bajo el common law se afecta la propiedad si consume recursos informáticos de un
43 CompuServe v. Cyber Promotions, 962 F.Supp 1015 (S.D. Ohio 1997);Thrifty Tel, Inc. v.
Bezenek, 46 Cal.App. 4th 1559 (Cal. Ct.App. 1996).Ver el comentario al primer caso en la nota
citada en el punto inmediato anterior.
44 North Tel, Inc. v. Brandl (In re Brandl), 179 B.R. 620 (Bankr. D. Minn. 1995).
45 Werner, Zaroff, Slotnick, Stern & Askenazy v. Lewis, 588 N.Y.S.2d 960, 961 (New York
City Civ. Ct. 1992).
46 Burleson v. State, 802 S.W.2d 429, 432 (Tex.App. 1991);Ver también los siguientes casos
utlizando los mismos conceptos: United States v. Riggs, 739 F. Supp. 414 (N.D. Ill. 1990);Ward v.
Superior Court, 3 CLSR 206 (Cal. Super. Ct. 1972); United States v. Seidlitz, 589 F.2d 152 (4th
Cir. 1978).
47 North Tel, Inc. v. Brandl (In re Brandl), 179 B.R. 620 (Bankr. D. Minn. 1995).
48 R v.Whiteley 93 Crim.App. R. 25 (Eng. CA 1991).
80 Agosto de 2006 Universidad de los Andes Facultad de Derecho
Análisis legal del accionar de un virus informático en el derecho penal argentino y comparado
49 Meiring DE VILLIERS,Virus Ex Machina: Res Ipsa Loquitur, 2003 Stan.Tech. L. Rev. 1, con cita
del caso CompuServe v. Cyber Promotions (962 F.Supp. at 1022) y los casos United States v.
Sampson, 6 CLSR. 879 (N.D. Cal. 1978) (se condenó al imputado por apropiarse del tiempo y
recursos informáticos propiedad del gobierno). Otros tribunales, sin embargo, se negaron a
asimilar a un derecho de propiedad el uso de recursos informáticos: ver Indiana v. McGraw, 480
N.E. 2d 552 (Ind. 1985); New York v.Weg, (NY Crim. Ct. 1982).
50 Ver las normas federales actualizadas en http://www.cybercrime.gov/fedcode.htm
51 Ver http://www.cybercrime.gov/index.html. Por otra parte, el listado de casos, disponible
en http://www.cybercrime.gov/cccases.html, demuestra que desde 1998 al 2003 se han obteni-
do mas de medio centenar de condenas en la materia.
52 Cfr. 18 U.S.C. 1030, que dispone “Section 1030(a)(5)(A)….(5) intentionally accesses a
Federal interest computer without authorization, and by means of one or more instances of
such conduct alters, damages, or destroys information in any such Federal interest computer, or
prevents authorized use of any such computer or information, and thereby …. (A) causes loss
to one or more others of a value aggregating $ 1,000 or more during any one year period; . . .”.
53 Dentro del delito de daño, algunas leyes estaduales contemplan específicamente a los
virus informáticos, como ser California, Illinois, Minesota, Nebraska y Texas.Ver un listado en
http://www.ncsl.org/programs/lis/cip/hackleg01.htm
Agosto de 2006 Universidad de los Andes Facultad de Derecho 81
Pablo A. Palazzi
Por la época y por la novedad el caso Morris terminó con una condena judicial.
Pero actualmente la mayoría de los casos sobre delitos informáticos terminan en
“plea agreements”, o acuerdos con el Fiscal donde el imputado reconoce su accionar
y se le da una pena menor59.
Sin embargo no han faltado otros casos de condenas por este delito. Por ejemplo
en el caso United States v. Sablan60 se confirmó una condena a una empleada de
banco por dañar archivos del servidor central de la entidad una vez que fue despedida.
La empleada entró por la puerta trasera y de noche, se conectó al ordenador central y
borró numerosos archivos de la entidad financiera.
Mas recientemente, en el caso Hotmail Corp. v. Van$ Money Pie Inc.61, un tribu-
nal de California sostuvo que el envío de miles de correos electrónicos no solicitados
a usuarios de Internet, conteniendo falsas direcciones de origen de los mismos indi-
cando como originante al actor (Hotmail) constituía una violación a las disposicio-
nes civiles de la Computer Fraud and Abuse Act. Esta norma prohíbe transmitir
información falsa que cause un daño. Los imputados habían creado direcciones de
hotmail.com para recibir allí los pedidos de remoción y los emails que rebotaban por
inexistencia de las direcciones de destino y evitar recibirlas en sus cuentas personales.
El tribunal entendió que los imputados habían accedido intencionalmente y sin
autorización al sistema o servidor de Hotmail al forzarlo a recibir, retener o transmi-
tir a los suscriptores legítimos de esta empresa y desprestigiándolo frente a sus clien-
tes62.
59 Por ejemplo, el autor del virus Melissa fue condenado a veinte meses en una prisión
federal a cambio de su “acuerdo de cooperación” en donde el imputado reconocía haber
producido un daño cercano a 80 millones de dólares sólo en los Estados Unidos.Ver http://
www.cybercrime.gov/melissa.htm
60 92 F.3d 865, 866 (9th Cir. 1996).
61 Hotmail Corp. v.Van$ Money Pie Inc., 47 U.S.P.Q.2d (BNA) 1020, 1998 WL 388389 (N.D.
Cal. 1998).
62 Sobre el fenómeno del spam ver PALAZZI, Pablo,Aspectos legales del correo electró-
nico no solicitado, JA 2004-I-920.
63 Un estudio detallado sobre el daño informático en Inglaterra puede verse en http://
www.strath.ac.uk/Departments/Law/dept/diglib/book/criminal/crim11.html
64 Cox v. Riley [1993] FSR 168 (CA).
84 Agosto de 2006 Universidad de los Andes Facultad de Derecho
Análisis legal del accionar de un virus informático en el derecho penal argentino y comparado
Sin embargo, pese a todo lo expuesto, un caso reciente fallado en el año 2005
sostuvo que la denegación de servicio no es delito bajo la ley de delito informático del
año 1990. En este caso, un adolescente inglés fue absuelto del delito de denegación de
servicio que produjo daños al sistema informático de su empleador. Este delito con-
siste en saturar un servidor con pedidos de acceso o con miles de correos electrónicos
a los fines de inutilizarlo temporalmente. En el caso el imputado estaba acusado de
haber enviado cinco millones de mensajes de correo electrónico al servidor de la
empresa donde trabajaba y de donde había sido previamente despedido71.
El imputado fue absuelto porque la ley inglesa de delitos informáticos (Computer
Misuse Act of 1990) no contempla la denegación de servicio como delito. En su mo-
mento, hace quince años, cuando Inglaterra reformó sus normas penales para adap-
tarlas a la informática se legisló el acceso no autorizado y la modificación no autori-
zada de material informático. La defensa se basó en que el envío de numerosos co-
rreos electrónicos no solicitados a un servidor no constituía delito porque el servidor
justamente había sido habilitado para recibir correos y bajo la terminología de la ley
no se modificaba ni accedía a ningún ordenador.
La decisión del magistrado londinense sostuvo que “el mundo informático ha
cambiado considerablemente desde la sanción de la ley en 1990” y agregó que no
existían precedentes en la materia. Para absolver al imputado razonó del siguiente
modo “En este caso, los correos electrónicos enviados causaron cada uno en forma
individual una modificación que fue “autorizada”. Aunque fueron enviados en masa,
saturando el funcionamiento del servidor, el efecto sobre el servidor no es una modi-
ficación punible bajo la sección 3 de la “Computer Misuse Act” concluyendo que
ningún tribunal podría concluir en forma razonable que se trataba de e-mails no
autorizados.
En este país se estudia desde hace varios años una reforma de la ley para actualizar-
la al Convenio del Ciberdelito y a las nuevas técnicas delictivas como la del caso
comentado, que mediante denegación de servicios anulan termporariamente el fun-
cionamiento de servidores en Internet provocando daños72 .
expresamente la difusión de los mismos73. Así, el art. 615.5 del Código penal italia-
no, en el que se castiga con la pena de reclusión de hasta dos años y multa de hasta
veinte millones de liras la difusión de programas que tengan por objeto o produzcan
el efecto de dañar un sistema informático o telemático, los datos o los programas
contenidos en él o pertenecientes al mismo o la interrupción, total o parcial, o la
alteración de su funcionamiento74 .
El artículo 264.2 del Código Penal español castiga con la pena de prisión de uno
a tres años al que por cualquier medio destruya, altere, inutilice o de cualquier otro
modo dañe los datos, programas o documentos electrónicos ajenos contenidos en
redes, soportes o sistemas informáticos. La doctrina considera que esta norma es
aplicable a los virus informáticos75.
Los españoles optaron por tipificar el daño informático directamente como una
figura agravada. Analizando este delito, señala Gonzalez Rus76 que “la destrucción de
sistemas informáticos y de datos, programas y documentos electrónicos es uno de los
comportamientos más frecuentes y de mayor gravedad en el ámbito informático. El
daño puede afectar tanto a los elementos físicos del sistema (destrucción de un moni-
tor, incendio de una unidad de proceso, inutilización de una impresora, etc.) como a
los elementos lógicos. En el primer caso, el tratamiento penal no ofrece particulari-
dad alguna, debiendo aplicarse el tipo básico de daños del art. 263, y eventualmente
las agravaciones del art. 264, cuando los daños afecten exclusivamente a objetos físi-
cos del sistema. Cuando los daños alcancen también a elementos lógicos será aplica-
ble, como veremos, la figura agravada del art. 262.2. Los supuestos que resultan más
complicados desde el punto de vista penal son, pues, los de destrucción de datos,
programas o documentos electrónicos, que son, además, los que han alcanzado ma-
yor notoriedad. Aunque los daños pueden producirse tanto por procedimientos físi-
cos como propiamente informáticos, son éstos los que despiertan mayor interés. La
73 Juan José González Rus, Protección Penal de sistemas, elementos, datos, documentos y
programas informáticos, en Revista Electrónica de Ciencia Penal y Criminología, RECPC 01-14
(1999). Este excelente artículo, cuya lectura recomiendo, está disponible en Internet en http://
criminet.ugr.es/recpc/recpc_01-14.html
74 BUONOMO, en AAVV, Profili penali dell´informnatica, pag. 82 y ss.
75 Ver Manuel MARCHENA GOMEZ, Prevención de la delincuencia tecnológica, en Dere-
cho de Internet (Rafael Mateu de Ros y Juan Manual Cendoya Mendez de Vigo, coordinadores),
Aranzadi Editorial, 2000, Navarra, pag. 439; Juan José GONZÁLEZ RUS, Protección Penal de
sistemas, elementos, datos, documentos y programas informáticos, ob. citada; Xavier Ribas,
Respnsabilidad por virus, Circular 139, en http://www.onnet.es/07010001.htm; Julio Melón Pérez,
Responsabilidad jurídica derivada de la creación y difusión de virus informáticos, en Derecho.com,
julio de 2002, http://www.derecho.com/boletin/articulos/articulo0139.htm.-
76 Juan José González Rus, Protección Penal de sistemas, elementos, datos, documentos y
programas informáticos, en Revista Electrónica de Ciencia Penal y Criminología, RECPC 01-14
(1999).
Agosto de 2006 Universidad de los Andes Facultad de Derecho 87
Pablo A. Palazzi
77 El citado autor aclara que el rechazo se basaba en una mala comprensión del requisito de
la “corporalidad” o “materialidad” que se exigía al objeto material del delito de daños. Cfr.
GONZÁLEZ RUS,Aproximación al tratamiento penal de los ilícitos patrimoniales relaciona-
dos con medios o procedimientos informáticos, en RFDUCM, Monográfico n.º 12, 1982, pp.107
y ss.
78 Que dice asi “Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement
automatisé de données est puni de trois ans d’emprisonnement et de 300 000 F d’amende”.
79 Que dice “Le fait d’introduire frauduleusement des données dans un système de traitement
automatisé ou de supprimer ou de modifier frauduleusement les données qu’il contient est
puni de trois ans d’emprisonnement et de 300 000 F d’amende”.
88 Agosto de 2006 Universidad de los Andes Facultad de Derecho
Análisis legal del accionar de un virus informático en el derecho penal argentino y comparado
80 Cass. crim., 12 déc. 1996 ; Proc. gén. près CA Paris et a. : Juris-Data no. 005348, JCP G
1997, IV 779. El caso está publicado en internet en http://lexinter.net/JPTXT2/
introduction_d’un_virus.htm
81 André LUCAS et al, Droit de l´informatique et de l´internet, PUF Droit, pag. 687.
82 Juan Pablo HERMOSILLA y Rodrigo ALDONEY, Delitos Informáticos, pag. 428, en Dere-
cho y Tecnologías de la Información, Universidad Diego Portales, 2002, Chile.
83 Reforma por ley 27.309 que incorpora al Código Penal del Perú los Delitos Informáticos
(Promulgada el 15 de Julio del año 2000).-
Agosto de 2006 Universidad de los Andes Facultad de Derecho 89
Pablo A. Palazzi
que su objeto ha de ser solo una cosa mueble o inmueble y se considera que los datos
no se encuentran dentro de esta categorización84.
Es del caso señalar que la ley de derecho de autor de México ampara los programas
de ordenador como obras intelectuales, pero contiene una salvedad en relación al
tema que estudiamos que demuestra la opinión negativa que el legislador mexicano
tiene sobre los virus informáticos. El Artículo 102 de la citada ley dice “Los progra-
mas de computación se protegen en los mismos términos que las obras literarias.
Dicha protección se extiende tanto a los programas operativos como a los programas
aplicativos, ya sea en forma de código fuente o de código objeto. Se exceptúan aquellos
programas de cómputo que tengan por objeto causar efectos nocivos a otros progra-
mas o equipos”.
Finalmente la Convención del Ciberdelito85 dispone en su artículo 4° que “cada
parte adoptará las medidas legislativas y de otra especie que sean necesarias para
establecer como delito bajo su ley local, a los actos que en forma intencional e ilegal
dañen, borren, deterioren, alteren o supriman datos de ordenadores”. El art. 1° define
el término datos de ordenadores como “cualquier representación de hechos, informa-
ción o conceptos en una forma tal que permita su procesamiento por un ordenador,
incluido un programa que permite que un ordenador realice una determinada fun-
ción”.
La importancia de la Convención se puede apreciar con un caso concreto: el virus
conocido como “Love Bug” (o I Love You). Este virus fue elaborado en Filipinas y se
expandió rápidamente por todo el mundo86. Partiendo de información provista por
un ISP en Filipinas, el FBI logró determinar el autor del programa que resultó ser
Onel de Guzman, un ex estudiante filipino de ciencias informáticas87. Se allanó su
casa y se encontraron pruebas de la autoría del virus. Pero había un problema: Filipi-
nas no tenía ley de delitos informáticos, por ende ni el hacking, ni el daño informático
ni la distribución de virus o la sustracciones de claves era considerado delito en ese
país. Tampoco se lo podía extraditar a otros países donde el virus había provocado
innumerables daños y pérdidas pues en todos ellos estaba vigente el requisito de
“doble criminalidad”, esto es que la conducta sea delito tanto en el país requirente
como el requerido. Ante la presión mundial, Filipinas aprobó en cuestión de semanas
una ley de comercio electrónico y de delitos informáticos que contemplaba todas las
conductas que Onel de Guzman88 había realizado. Pero la irretroactividad de la ley
penal impidió todo castigo. De haber tenido Filipinas una ley de delitos informáticos,
o de haber adoptado los criterios previstos en la Convención de Budapest, los daños
ocasionados por el virus “Love Bug” no habrían quedado impunes.
7. Conclusiones
Los casos que hemos comentado en esta nota demuestran que una cuestión que
parece moderna (los virus informáticos) pero que ya lleva mas de dos décadas de
debate aun no ha recibido una respuesta legislativa adecuada en nuestro medio. Mien-
tras tanto, los virus siguen haciendo estragos en las herramientas que a diario usamos
para trabajar.
En el último lustro se dictaron una serie de fallos en nuestro país que tratan el
problema penal de los virus, con diversos resultados. Las conclusiones inmediatas
que surgen de estos casos es que estos delitos informáticos se siguen cometiendo a
diario y producen cuantiosas pérdidas a empresas, a individuos y al Estado. Por otra
parte, la falta de una legislación especial deja un vacío en una materia que es muy
importante amparar.
Existen distintos niveles de daño que un virus o el accionar humano pueden
causar a un ordenador. Desde el mas claro que es la destrucción del hardware, hasta el
mas sutil borrado de los programas o los datos contenidos en el mismo. En el medio
hay diferentes variantes, como la desconfiguración de los programas o periféricos, el
encriptado de datos, la alteración de los puertos de entrada o salir del ordenador, los
daños aleatorios, o el bloqueo de periféricos o la saturación de servidores mediante
miles de pedidos de acceso falsos. Los virus pueden provocar otros daños no relacio-
nados directamente al derecho de propiedad. Por ejemplo, algunos virus toman un
archivo al azar y lo distribuyen aleatoriamente a una lista de distribución de correos,
pudiendo de esa forma violar la intimidad, el secreto profesional o el secreto indus-
trial. Otros reenvían a la lista de correo del usuario insultos o pornografía, compro-
88 El art. 33 de la ley 8972/2000 contemplaba como delito el daño informático con una pena
de seis meses a tres años.
Agosto de 2006 Universidad de los Andes Facultad de Derecho 91
Pablo A. Palazzi
Bibliografía
ARRECHE, María Karina, Internet y el bloqueo de servicios (o “denial of service
attacks”), en Derecho Informático 1, Iuris.
BERTRAND, André, DAT en el momento del problema del año 2000, en Derecho
de la Alta Tecnología, Septiembre de 1998, No. 121, año XI.
BIERCE, Willian, “El Delito de ‘violencia tecnológica’ en la legislación de Nueva
York”, en Derecho de la Alta Tecnología No. 66, pág. 20, Febrero 1994 (traduc-
ción de Pablo Palazzi y Antonio Millé).
CARO, Rodrigo, El archivo almacenado en soporte informático como objeto de
delito de daño, art. 183 del Código Penal, LL 2004-A-1436.
Kelly CESARE, Prosecuting Computer Virus Authors: The Need for an Adequate
and Immediate International Solution, 14 Transnat’l Lawyer 135 (2001).