Trabajo 2

1 " La Tienda Comprometida: Ciberataque a E-commerce y Robo de Datos de Pago" ANDRÉS ERNESTO NIETO RICO Docente YOR ALBER ARREGOCES ORTEGA Universitaria de Colombia Derecho Virtual Programa 2025.

2 Tabla de Contenido Introducción .......................................................................................................................................... 3 Análisis Jurídico y Técnico del Incidente .......................................................................................... 4 Delitos informáticos conforme a la Ley 1273 de 2009 ...................................................................... 5 Técnica de inyección de código y robo de datos ............................................................................... 6 Aplicación de la Ley 527 de 1999 ....................................................................................................... 7 Vulneración de principios y deberes de la Ley 1581 de 2012 ........................................................... 8 Acciones legales posibles .................................................................................................................... 9 Evidencia digital clave para la investigación ................................................................................... 10 Medidas preventivas desde la ciberseguridad .................................................................................. 11 Conexión entre el deber de seguridad y los delitos informáticos ................................................... 12 Conclusión .......................................................................................................................................... 13 Referencias ......................................................................................................................................... 14.

3 Introducción En el contexto actual, donde el comercio electrónico ha crecido de manera exponencial, la seguridad informática se ha convertido en un pilar fundamental para la confianza de los usuarios. No obstante, muchas empresas, especialmente las de tamaño medio o pequeño, subestiman los riesgos asociados a la protección de la información digital. El presente análisis examina el caso de “CompraYa.com”, una tienda virtual colombiana que fue víctima de un ciberataque mediante técnicas como cross-site scripting (XSS) y skimming digital, resultando en el robo de datos de tarjetas de crédito de sus clientes. A partir del estudio de este caso, se abordarán las implicaciones jurídicas desde la Ley 1273 de 2009, la Ley 527 de 1999 y la Ley 1581 de 2012, así como las responsabilidades legales, administrativas y éticas de la plataforma frente a sus usuarios..

4 Análisis Jurídico y Técnico del Incidente El caso de “CompraYa.com” representa un ejemplo claro de cómo una falla en la seguridad informática puede tener consecuencias legales graves tanto para la empresa como para los consumidores. A continuación, se desarrolla un análisis con base en las leyes colombianas vigentes relacionadas con delitos informáticos, protección de datos personales y comercio electrónico..

5 Delitos informáticos conforme a la Ley 1273 de 2009 En este caso se configuran varios delitos establecidos en la Ley 1273 de 2009, que modifica el Código Penal colombiano para incluir tipos penales en materia de protección de la información y los datos. En primer lugar, se puede identificar el acceso abusivo a un sistema informático (art. 269A), ya que los atacantes ingresaron sin autorización al sistema de “CompraYa.com”. También se configura el obstáculo a la legítima utilización de sistemas informáticos (art. 269B), al interferir con la operatividad segura de la plataforma. El hurto por medios informáticos y semejantes (art. 269I) se presenta cuando los atacantes utilizan los datos robados para hacer compras no autorizadas. Además, la violación de datos personales (art. 269F) se concreta con la apropiación de información sensible de los usuarios sin su consentimiento..

6 Técnica de inyección de código y robo de datos El ataque fue ejecutado mediante técnicas como Cross-Site Scripting (XSS) o skimming digital, que consisten en insertar código malicioso en sitios web legítimos para interceptar la información que ingresan los usuarios. En este caso, la manipulación del formulario de pago permitió a los delincuentes capturar datos en tiempo real, antes de que fueran cifrados, lo cual facilitó el robo sin que los usuarios o la plataforma lo notaran de inmediato..

7 Aplicación de la Ley 527 de 1999 La Ley 527 de 1999 regula los mensajes de datos, el comercio electrónico y la firma digital en Colombia. En este contexto, “CompraYa.com” actúa como proveedor de servicios electrónicos, por lo que tiene la responsabilidad de garantizar la confiabilidad, integridad y seguridad de las transacciones. El uso de mensajes de datos implica que la empresa debe implementar mecanismos técnicos adecuados para proteger la información intercambiada en la plataforma, lo que evidentemente no ocurrió..

8 Vulneración de principios y deberes de la Ley 1581 de 2012 La Ley 1581 de 2012 establece el régimen general de protección de datos personales. En el caso analizado, “CompraYa.com” vulneró varios principios, entre ellos el de seguridad, que obliga al responsable del tratamiento a adoptar medidas técnicas, humanas y administrativas para proteger los datos. También se incumple el principio de confidencialidad y el deber de informar a los titulares sobre el uso y riesgo de sus datos, lo cual agrava su situación frente a los afectados..

9 Acciones legales posibles Los consumidores pueden acudir a la Superintendencia de Industria y Comercio (SIC) para presentar una queja por violación de datos personales, e incluso exigir compensaciones. Desde lo penal, se puede iniciar un proceso contra los responsables del ataque. A su vez, “CompraYa.com” podría enfrentar sanciones administrativas por no cumplir con los estándares mínimos de seguridad y, si se comprueba negligencia, también puede ser objeto de demandas civiles por los perjuicios ocasionados a sus clientes..

10 Evidencia digital clave para la investigación Para esclarecer el caso, es crucial preservar evidencia digital como: Registros (logs) del servidor web, que pueden mostrar el momento del ataque. El código malicioso inyectado. Trazabilidad de las transacciones fraudulentas. Información del servidor externo al que se enviaron los datos. Toda esta evidencia debe ser recolectada de forma técnica y legalmente válida para que pueda ser usada en un proceso judicial..

11 Medidas preventivas desde la ciberseguridad Entre las acciones que pudo haber implementado la plataforma se encuentran: • Auditorías frecuentes de seguridad web. • Instalación de un Web Application Firewall (WAF). • Aplicación de políticas de desarrollo seguro, que impidan la ejecución de código no autorizado. • Monitoreo constante del comportamiento del sitio y pruebas de penetración periódicas. Estas medidas podrían haber mitigado o incluso evitado el ataque..

12 Conexión entre el deber de seguridad y los delitos informáticos Finalmente, hay una relación directa entre el incumplimiento del deber de seguridad establecido en la Ley 1581 y la materialización de los delitos contemplados en la Ley 1273. La negligencia o falta de diligencia en la protección de los datos facilitó que los atacantes pudieran acceder y utilizar la información sin mayores obstáculos. Esto evidencia la necesidad de que las empresas que operan en entornos digitales comprendan que la seguridad informática no es opcional, sino un requisito legal y ético en la era digital..

13 Conclusiones El caso de “CompraYa.com” refleja las serias consecuencias legales, económicas y reputacionales que puede enfrentar una empresa cuando no adopta las medidas mínimas necesarias para garantizar la seguridad de los datos de sus clientes. A través del análisis jurídico se concluye que los delitos informáticos contemplados en la Ley 1273 de 2009 se configuran con claridad, y que el incumplimiento de la Ley 1581 de 2012 en relación con el deber de seguridad fue un factor determinante en la comisión de estos delitos. Asimismo, la Ley 527 de 1999 impone a los prestadores de servicios electrónicos una responsabilidad adicional en la protección de los mensajes de datos, responsabilidad que no fue asumida adecuadamente por la empresa. Este caso subraya la urgencia de que las organizaciones integren una cultura de ciberseguridad que contemple no solo aspectos técnicos, sino también jurídicos y organizacionales..

14 Referencias Bibliográficas • Congreso de Colombia. (2009). Ley 1273 de 2009. Por medio de la cual se modifica el Código Penal y se crea un nuevo bien jurídico tutelado: la protección de la información y los datos. Diario Oficial No. 47.426. • Congreso de Colombia. (1999). Ley 527 de 1999. Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales. Diario Oficial No. 43.654. • Congreso de Colombia. (2012). Ley 1581 de 2012. Por la cual se dictan disposiciones generales para la protección de datos personales. Diario Oficial No. 48.587. • Superintendencia de Industria y Comercio. (s.f.). Guía para la implementación del principio de seguridad de la información personal. Recuperado de: https://www.sic.gov.co • Ministerio TIC. (2023). Ciberseguridad para empresas: recomendaciones básicas para protegerse. Recuperado de: https://www.mintic.gov.co.