Desde 1999, México cuenta con legislación federal que sanciona los delitos informáticos, un problema que afecta principalmente al sector financiero, aunque sus consecuencias trascienden.
Las organizaciones víctimas pueden sufrir interrupciones en sus operaciones, pérdida de datos, daños reputacionales e incluso problemas legales. En este contexto, la ciberseguridad en México juega un papel crucial, no solo en la aplicación de leyes, sino en la prevención y mitigación de actividades ilícitas en línea.
¿Qué son los delitos informáticos?
Los delitos informáticos son acciones ilícitas cometidas utilizando medios digitales. Estos abarcan desde el robo de datos y la suplantación de identidad hasta el fraude financiero y el sabotaje informático.
Quienes los perpetran incluyen:
- Individuos expertos en informática.
- Grupos organizados especializados en actividades delictivas.
- Entidades estatales que ejecutan ciberataques por razones políticas o económicas.
Estar al tanto de estas amenazas es crucial para implementar medidas preventivas eficaces.
Clasificación de los delitos informáticos
Cynthia Solís, socia de la firma legal LEXINF, señala que los delitos informáticos se dividen en:
- Ataques a sistemas: Destrucción, alteración o extracción no autorizada de información. Este tipo de ataque puede ser realizado de diversas maneras, como por ejemplo, a través de denegación de servicio (DoS), que a menudo explota vulnerabilidades en el UDP (User Datagram Protocol) debido a su naturaleza sin conexión, lo que lo hace susceptible a ataques de saturación. Los atacantes aprovechan esta característica para generar tráfico masivo que sobrecarga los sistemas
- Delitos comunes cometidos mediante tecnología, como el phishing. Según Solís, el phishing combina varios delitos en un solo acto: por ejemplo, enviar un enlace fraudulento que aparenta ser de un banco para robar datos confidenciales.
Además, los ataques de ransomware son una amenaza creciente que puede paralizar a las organizaciones mediante la encriptación de datos, exigiendo pagos para liberarlos. Para conocer estrategias efectivas contra estos ataques, consulta esta guía práctica sobre ransomware.
Ejemplos de delitos incluyen:
- Acceso ilícito a sistemas para obtener información confidencial.
- Alteración de medios electrónicos como contraseñas.
- Delitos de privacidad, incluyendo la distribución no consentida de imágenes íntimas.
- Suplantación de identidad para obtener beneficios indebidos.
El phishing, además, viola derechos de autor al copiar la apariencia de sitios web legítimos con fines fraudulentos.
Conductas consideradas delito en México
Según la Ley de Instituciones de Crédito, se tipifican como delito acciones como:
- Proporcionar datos falsos para obtener créditos.
- Falsificar tarjetas de crédito o débito.
- Acceder sin autorización a sistemas bancarios para robar información.
Estas conductas también están reguladas en el Código Penal Federal, que detalla los delitos relacionados con la revelación de secretos y el acceso no autorizado a sistemas informáticos.
Protección de datos personales
La LFPDPP regula el tratamiento de datos personales sensibles y garantiza los derechos ARCO (acceso, rectificación, cancelación y oposición).
Su cumplimiento es supervisado por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). Recientemente, varios casos de filtraciones masivas de información han destacado la necesidad de mejorar la ciberseguridad.
Principales leyes que regulan los delitos informáticos
Los delitos informáticos en México en la actualidad se regulan principalmente a través de las siguientes leyes:
- Ley de Instituciones de Crédito.
- Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPP).
- Ley del Mercado de Valores.
Estas legislaciones ofrecen un marco legal robusto para perseguir y sancionar a los responsables de delitos informáticos. A continuación una por una y sus respectivas sanciones y multas:
Código Penal Federal
El Código Penal Federal es la base normativa más relevante para combatir los delitos informáticos en México. Este instrumento legal incluye disposiciones específicas para sancionar conductas ilícitas relacionadas con el uso indebido de tecnologías de la información, protegiendo tanto los datos personales como la infraestructura digital.
Por ejemplo, el artículo 211 bis penaliza el acceso no autorizado a sistemas informáticos, tipificando como delito cualquier acto que modifique, destruya o genere pérdidas de información, especialmente cuando se trate de sistemas protegidos por medidas de seguridad.
Además, el Código abarca la revelación indebida de secretos, sancionando a quienes sustraigan o difundan información privada obtenida sin el consentimiento del titular.
Otra característica destacada es su enfoque en el uso de sistemas informáticos para cometer fraudes y otras actividades delictivas. La normativa considera agravantes cuando estas acciones afectan sistemas críticos, como los relacionados con la seguridad pública o el sector financiero.
Las penas del Código
Las penas varían según la gravedad del daño causado, desde multas económicas hasta varios años de prisión, con el objetivo de disuadir y castigar severamente este tipo de acciones. Entre ellas están:
1) Revelación de secretos o información confidencial (Artículo 211)
La revelación indebida de información por parte de profesionales, técnicos o funcionarios públicos, así como la divulgación de secretos industriales, se sanciona con uno a cinco años de prisión, multas de cincuenta a quinientos pesos y suspensión profesional de dos meses a un año. Este artículo enfatiza la protección de secretos que, por su naturaleza, son de interés estratégico o personal.
2) Uso indebido de información obtenida de comunicaciones privadas (Artículo 211 Bis)
Quien revele, divulgue o utilice información o imágenes obtenidas mediante la intervención de una comunicación privada enfrenta penas de seis a doce años de prisión y multas de trescientos a seiscientos días de salario. Este delito protege el derecho a la privacidad y sanciona severamente cualquier intrusión indebida.
3) Acceso ilícito a sistemas y equipos de informática (Artículos 211 Bis 1 y 211 Bis 2)
- Modificación o destrucción de información protegida (Artículo 211 Bis 1): El acceso no autorizado para alterar, destruir o perder información en sistemas protegidos se sanciona con seis meses a dos años de prisión y multas de cien a trescientos días de salario. La simple copia o conocimiento de esta información se castiga con penas menores, de tres meses a un año de prisión y multas de cincuenta a ciento cincuenta días.
- Delitos contra sistemas del Estado (Artículo 211 Bis 2): Si las acciones ilícitas afectan sistemas del Estado, las penas aumentan a uno a cuatro años de prisión y multas de doscientos a seiscientos días de salario. Si los sistemas afectados son de seguridad pública, las penas se elevan a cuatro a diez años de prisión y multas de quinientos a mil días de salario. Además, si el responsable es un servidor público, se le aplicará destitución e inhabilitación de cuatro a diez años para ejercer cargos públicos.
Agravantes
Las sanciones se duplican si las acciones impiden o afectan la procuración de justicia o alteran registros de procedimientos penales resguardados por las autoridades. Esto refuerza la protección de los sistemas críticos para el funcionamiento del Estado y la seguridad pública.
Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP)
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) es el marco normativo en México que regula el tratamiento de datos personales realizado por personas físicas o morales en el sector privado.
Su objetivo principal es garantizar el derecho a la privacidad y la protección de los datos personales, estableciendo lineamientos claros sobre su recolección, manejo, almacenamiento y transferencia.
Entre las disposiciones más importantes de esta ley se encuentra la obligación de obtener el consentimiento del titular antes de recolectar sus datos. Además, establece los principios de licitud, finalidad, proporcionalidad, calidad, consentimiento, información, y responsabilidad, que deben regir el tratamiento de la información personal.
La ley también otorga a los titulares de datos personales derechos conocidos como ARCO (Acceso, Rectificación, Cancelación y Oposición). Estos derechos permiten a los usuarios acceder a su información, corregirla, cancelarla si es irrelevante para los fines para los que fue recolectada, y oponerse a su uso en determinadas circunstancias.
La LFPDPPP es una herramienta clave para garantizar la privacidad en la era digital y proteger a los ciudadanos frente al uso indebido de sus datos personales.
Las penas de la ley
La LFPDPPP establece un régimen claro de sanciones administrativas para las infracciones relacionadas con el manejo indebido de datos personales.
Entre las principales conductas sancionadas están la falta de respuesta a solicitudes ARCO, el uso de datos en contravención a los principios legales, mantener datos inexactos o transferirlos sin consentimiento del titular, así como la vulneración de la seguridad en bases de datos.
Las sanciones incluyen:
Apercibimientos: En casos menores, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) puede emitir una advertencia para que el responsable cumpla las disposiciones legales.
Multas económicas:
- De 100 a 160,000 días de salario mínimo para conductas negligentes, incumplimientos básicos o violaciones de principios rectores (como mantener datos inexactos o no responder a solicitudes ARCO).
- De 200 a 320,000 días de salario mínimo para infracciones más graves, como transferencias ilegales de datos, afectaciones a derechos ARCO o vulneraciones a la seguridad de bases de datos.
- Duplicación de multas cuando las infracciones involucran datos sensibles o son cometidas de manera reiterada.
Sanciones penales por tratamiento indebido de datos personales: El Capítulo XI establece consecuencias penales para quienes, con ánimo de lucro, vulneren la seguridad de bases de datos o traten información personal mediante engaños. Las penas incluyen:
- De tres meses a tres años de prisión para responsables que provoquen vulneraciones de seguridad en bases de datos bajo su custodia.
- De seis meses a cinco años de prisión para quienes utilicen datos personales mediante engaño o aprovechándose del error del titular.
En casos que involucren datos sensibles, las sanciones penales se duplican, subrayando la especial protección otorgada a este tipo de información.
Consideraciones adicionales
El INAI considera factores como la naturaleza de los datos, la capacidad económica del infractor, la intencionalidad de las acciones y la reincidencia al determinar las sanciones.
Además, las multas y penas administrativas no excluyen la posibilidad de responsabilidad civil o penal, lo que refuerza la protección integral de los derechos de los titulares frente al tratamiento indebido de sus datos personales.
Ley de Instituciones de Crédito
La Ley de Instituciones de Crédito (LIC) establece las disposiciones legales para la operación y supervisión de las entidades financieras en México, incluyendo medidas específicas para combatir delitos informáticos relacionados con el sector bancario.
Esta ley busca proteger los recursos financieros de los clientes, garantizar la seguridad de las operaciones y prevenir el acceso indebido a sistemas de información críticos de las instituciones de crédito.
En el ámbito de los delitos informáticos, la LIC sanciona actividades como la falsificación, uso indebido de sistemas electrónicos bancarios y el acceso no autorizado a información financiera.
Por ejemplo, establece la responsabilidad de las instituciones de implementar medidas de ciberseguridad que protejan las bases de datos, prevengan fraudes y mantengan la confidencialidad de la información sensible de los clientes. Los ataques informáticos contra sistemas financieros están tipificados como delitos graves que afectan tanto a la estabilidad del sistema financiero como a la confianza de los usuarios.
Sanciones de la Ley de Instituciones de Crédito
La ley prevé sanciones económicas y penales para quienes vulneren los sistemas de seguridad financiera, alteren registros electrónicos o cometan fraudes mediante el uso de plataformas tecnológicas.
Esto incluye multas significativas, inhabilitación profesional y penas de prisión para los responsables. Específicamente, se encuentran:
- Multas económicas: Las instituciones o personas responsables de actividades ilícitas como la alteración de registros electrónicos, acceso no autorizado a sistemas bancarios o manipulación de datos sensibles pueden enfrentar multas que varían según la gravedad del delito. La Comisión Nacional Bancaria y de Valores (CNBV) tiene la autoridad para imponer estas multas.
- Suspensión e inhabilitación: En casos de infracciones graves, la CNBV puede remover a miembros del consejo de administración, directores generales y otros funcionarios clave, suspendiéndolos por periodos de tres meses a cinco años. Asimismo, los responsables pueden ser inhabilitados para ejercer cargos dentro del sistema financiero.
- Sanciones penales: Delitos relacionados con la vulneración de sistemas de información o fraude financiero a través de medios electrónicos pueden derivar en responsabilidad penal, dependiendo de la magnitud del daño y la intención del infractor.
Agentes reguladores y procedimientos
El marco sancionador incluye la supervisión de la CNBV, que actúa como el principal órgano regulador y fiscalizador. Las disposiciones buscan proteger la estabilidad del sistema financiero y garantizar la seguridad de los usuarios.
Ley del Mercado de Valores
La Ley del Mercado de Valores regula el funcionamiento del mercado bursátil en México, estableciendo un marco normativo para la emisión, oferta y comercialización de valores, así como las operaciones de intermediarios y casas de bolsa.
Su objetivo principal es garantizar un mercado transparente, eficiente y competitivo, protegiendo a los inversionistas y fomentando el desarrollo económico. La ley también otorga facultades a la Comisión Nacional Bancaria y de Valores (CNBV) para supervisar y sancionar irregularidades en el sector.
En relación con los delitos informáticos, esta ley establece disposiciones para proteger la información financiera y prevenir el uso indebido de sistemas electrónicos en operaciones bursátiles. Los intermediarios y emisores están obligados a implementar medidas de ciberseguridad para garantizar la integridad y confidencialidad de la información de los inversionistas.
Además, la normativa aborda la difusión de información falsa o engañosa a través de medios electrónicos, tipificándola como un delito grave por su impacto en la confianza del mercado.
Cuáles son las multas de la Ley del Mercado de Valores
La ley también contempla sanciones específicas para quienes alteren, destruyan o accedan sin autorización a sistemas electrónicos relacionados con el mercado de valores.
Estas acciones pueden ser objeto de sanciones administrativas y penales, dependiendo de la gravedad del daño y la intencionalidad del infractor.
Multas económicas:
- Las multas varían dependiendo de la gravedad del acto y pueden alcanzar hasta 150,000 días de salario mínimo para infracciones graves como la manipulación de mercado o la falta de políticas de control interno en las entidades financieras.
- Para operaciones que contravienen disposiciones relacionadas con la transparencia y el acceso a información, las multas pueden ser de 30,000 a 100,000 días de salario.
Sanciones por manipulación de mercado:
En casos donde el beneficio obtenido es cuantificable, la multa puede equivaler al beneficio obtenido multiplicado por hasta dos veces su valor. Si el beneficio no es cuantificable, se aplicará una multa fija en el rango antes mencionado.
Suspensiones e inhabilitaciones:
Los responsables de infracciones graves, incluidos directivos y empleados, pueden ser suspendidos de sus funciones por un periodo de tres meses a cinco años. Estas sanciones buscan garantizar que las personas que gestionan operaciones bursátiles cumplan con estándares éticos y legales.
Estas sanciones son aplicadas con independencia de otros procesos penales o civiles que puedan derivarse de los actos ilícitos. La ley también prevé reducciones en las multas si el infractor resarce los daños causados o colabora con la autoridad en la investigación.
El caso de la Ley Olimpia
La Ley Olimpia es un conjunto de reformas legales aprobadas en México para combatir la violencia digital, específicamente la difusión no autorizada de contenido íntimo y la invasión de la privacidad en plataformas digitales.
Nació como respuesta a un movimiento ciudadano liderado por Olimpia Coral Melo, quien vivió en carne propia la afectación que estas prácticas generan. La ley fue adoptada a nivel federal en 2021 y establece un marco jurídico para sancionar actos que vulneren la intimidad a través de medios digitales.
Esta normativa introduce cambios en el Código Penal Federal y leyes locales, tipificando como delito la difusión, producción o intercambio de imágenes, videos o audios con contenido íntimo, sin el consentimiento de la persona involucrada. Además, sanciona el ciberacoso y la invasión de dispositivos electrónicos con fines de obtener material privado.
Las penas varían según la gravedad del caso, oscilando entre tres y seis años de prisión, así como multas económicas. La Ley Olimpia reconoce la violencia digital como una forma de violencia de género.
Esto refuerza el derecho a la privacidad y seguridad digital, colocando a México entre los países que buscan abordar de manera integral los retos legales del entorno tecnológico. Su aprobación marcó un precedente importante en la lucha por los derechos digitales y la protección de las víctimas de violencia en línea.
Preguntas frecuentes sobre delitos informáticos en México
Los delitos informáticos en México se castigan principalmente bajo el Código Penal Federal, que establece penas de prisión y multas dependiendo de la gravedad del delito. Por ejemplo, el acceso ilícito a sistemas informáticos puede tener sanciones de hasta 8 años de prisión, mientras que la difusión no autorizada de datos personales puede ser castigada con hasta 5 años de cárcel.
¿Qué delitos cibernéticos carecen de regulación jurídica en México?
México aún no cuenta con una regulación específica para ciertos delitos cibernéticos emergentes, como:
1) Ciberacoso laboral y escolar.
2) Manipulación de resultados en plataformas de apuestas en línea.
3) Uso indebido de tecnologías basadas en IA, como deepfakes.
Esto pone en evidencia la necesidad de actualizar el marco legal para abarcar nuevas amenazas.
¿Cómo prevenir los delitos informáticos en México?
Para prevenir delitos informáticos, se recomienda:
1) Utilizar contraseñas seguras y autenticación multifactor.
2) Mantener actualizados los sistemas operativos y software.
3) Desconfiar de correos electrónicos o enlaces sospechosos.
4) Contratar servicios de ciberseguridad profesional para empresas.
¿Qué estadísticas muestran la incidencia de ciberdelitos en México?
Según el INEGI, en 2023: El 34% de las empresas mexicanas sufrieron ataques informáticos. Los ciberdelitos generaron pérdidas económicas superiores a los 2,200 millones de pesos.
¿Qué países tienen las mejores prácticas para combatir delitos informáticos?
Países como Estonia y Estados Unidos destacan por:
1) Implementar infraestructuras digitales avanzadas con seguridad integrada.
2) Usar inteligencia artificial para detectar amenazas en tiempo real.
3) Fomentar la cooperación internacional para rastrear ciberdelitos transfronterizos.
¿Qué medidas están adoptando las empresas mexicanas para protegerse de ciberdelitos?
Las empresas mexicanas están invirtiendo en:
1) Ciberseguros que cubren daños por ataques informáticos.
2) Monitoreo constante con herramientas como las de McAfee y Kaspersky.
3) Capacitación en ciberseguridad para empleados.