Robert Malthus y la naturaleza del ser humano
Nota al primer fallo por robo de criptomonedas en el país
Por Diego Sebastián Gutiérrez [1]
Thomas Robert Malthus postuló en el siglo XVI[2] que mientras el crecimiento de la población en el mundo se daba en forma geométrica, la producción de alimentos aumentaba en progresión aritmética, lo que llevaría necesariamente a una crisis alimentaria.
Parafraseando a Malthus, me gusta utilizar la metáfora de que mientras el derecho evoluciona en forma aritmética (ej.: 2, 4, 6, 8, 10, 12, 14, 16), los avances tecnológicos se desarrollan en forma geométrica (2,4,8,16,32,64,128,264). Este desfasaje produce una brecha, no solo entre el derecho y la tecnología, sino además, entre esta y nuestra capacidad para comprenderla, un trípode que consideramos esencial comprender en los tiempos que corren. Esta brecha se refleja, por supuesto, en lo atinente al juzgamiento y detección de delitos informáticos.
En vistas de la referida asimetría o brecha, resulta necesario encontrar un elemento que compense las referidas asimetrías, un nivelador de diferencias. Volveremos sobre este punto más adelante.
La brecha a la que hacemos referencia propicia el hecho de que cuando el derecho se encuentra en un estado de avance que podríamos medir hipotéticamente en 12, la tecnología ya se encuentra en estado 512. Y esa brecha ha dado lugar a una metáfora, a una ya trillada dicotomía de nativos digitales y colonos o inmigrantes digitales, reservando la primera designación para aquellas personas que han nacido en medio de la tecnología, de los teléfonos celulares inteligentes y computadoras; y la última, la de colonos digitales o inmigrantes para aquellas que la hemos precedido y que nos vemos en la obligación de migrar hacia ella, al menos, si no deseamos quedar excluidos.
Esa metáfora, que en principio resulta cómoda, porque permite englobar y explicar en ella, una serie de capacidades y aptitudes referidas al manejo de la informática -al decir de la gente mayor-, todo aquello que “los chicos hacen en la computadora”-, pero al mismo tiempo, invisibiliza las diferencias que se crean entre nativos y colonos, y obviamente, entre grandes y chicos.
Walter Benjamín, cuando analizaba en los años 30 la aparición del cine y de los cambios que había producido en la sociedad, refería que una generación que nace cuando ya se encuentra implementada determinada tecnología, adquiere una forma de ver las cosas, una forma de reproducir cultura, una forma -agregaría yo- de litigar, tan distinta a los inmigrantes digitales, que hace que el derecho se acompleje tanto, se contorsione tanto, que propicia la lamentable consecuencia de que la forma de litigar de quien maneja tecnología y quien no la maneja, hoy asuma contornos de dimensiones abismales.
En los tiempos que sobrevendrán a los nuestros, a nivel de procesos judiciales, los consensos necesarios entre las partes fundamentales del mismo (fiscalía-querella-fuerzas de investigación, Policía científica) asumirán roles determinantes en función del éxito que busquen; y ello en línea directa con la efectividad que implementen, no solo en el fortalecimiento de su propio rol, sino de la capacidad de trabajo colaborativo y trasversal; en un mundo donde la especialidad juega su propio partido competencial en relación a las propias funciones. Pero al mismo tiempo, juega otro partido, esta vez de naturaleza complementaria con otras profesiones y ramas, en la cual el conocimiento (la mirada) clinic@ se erige en la llave del mañana.
Es en este punto exacto, donde la referida dicotomía (nativos digitales-colonos digitales) se vuelve paradojal, porque por un lado, sirve para explicar algo, y por el otro, establece una clara exclusión entre quienes entienden el rol de la tecnología y quiénes no.
No pretendo con ello llegar a la conclusión de que se es -hoy en día- mejor abogado o juez asimilando conceptos elementales de tecnología y su imbricación en la sociedad, sino que hoy por hoy, no se puede ejercer el derecho ni la magistratura sin conocer tales aspectos.
En la provincia del Chaco, con la reciente sanción del Código Procesal Civil y Comercial que entró en vigencia el 1/8/2017 (siendo la primera provincia que adecuó su código al Código de fondo nacional), hemos tomado debido nota de esta evolución. Si bien es necesario decirlo, nuestro STJ ya hace años viene a través de la dirección de tecnología, implementando el expediente en línea, la notificación electrónica, la firma digital, pero la circunstancia de que el derecho recién incorpore normativamente algo que venimos manejando hace tiempo, demuestra a las claras las consecuencias de la brecha de la cual hablaba más arriba.
Es además importante mencionar que entre derecho y tecnología existe una relación que no es directa, que se encuentra mediada por el desarrollo. Todos los países que se han desarrollado manifiestan instituciones en derecho fuerte, como el derecho de propiedad, libertad, desarrollo constitucional, entre otros. Por su parte, la tecnología ha aportado lo suyo en este triunvirato que conforma junto al derecho y al desarrollo.
Si observamos que desde el año cero, hasta el año 1800, la mayoría de las mediciones indican que la humanidad tal cual la conocemos se ha desarrollado un cincuenta por ciento, y en casi los últimos doscientos veinte años de vida, hemos crecido más del mil por ciento; con lo cual, la vertiginosidad del desarrollo queda en clara evidencia.
Creo que las fronteras en el mundo, con la intervención de la tecnología, se están desdibujando y en el derecho mucho más aún.
En cuanto a la relación entre derecho y tecnología, alguna vez leí a Rohan Silva, afirmar un paralelo interesante en la historia, diciendo que mientras la Revolución Industrial sustituyó al músculo del ser humano, la revolución tecnológica -en la cual estamos inmersos- sustituirá al cerebro del hombre.
En efecto, la consecuencia directa de que la Revolución Industrial haya suplantado al músculo del ser humano fue la circunstancia histórica de que muchos trabajadores que ponían sus músculos al servicio de la fuerza de trabajo perdieron lugares de trabajo en la sociedad industrial, estratos medios y bajos de la misma, que eran, por ese mismo hecho, los más carentes de capacitación.
En los días que corren, afirma Silva, paralelamente, estamos viviendo una revolución tecnológica, que de manera similar a la industrial, va a generar la pérdida de trabajo a muchas personas; pero esta vez comprometerá a quienes pongan, al servicio del trabajo, no al esfuerzo físico, sino la materia gris. Y en eso, la justicia y los operadores del derecho estamos más expuestos, más involucrados.
Creo que es nuestro deber ir disminuyendo cada vez más las diferencias, con apoyo de las herramientas tecnológicas. Dicen que el derecho actúa como un gran lienzo, elaborado (por lo holístico de su contenido) con el mejor género que podamos imaginar. Pero ese mismo mantel o lienzo, cuanto más noble, colocado sobre una superficie irregular, copia necesariamente las irregularidades que solapa.
Entonces, es nuestro deber ir disminuyendo las mencionadas irregularidades o diferencias, afianzando el derecho, para ser cada vez más iguales en relación al mismo, o más bien, para ir creando cada vez mayor nivel de igualdad de oportunidades; premisa sin la cual, el derecho carece de sustento, al menos si pretende asumir los ambages del estado social, constitucional y democrático de derecho.
Direccionándonos hacia el fallo bajo comentario, diremos resumidamente que se trató de una investigación iniciada por la Oficina de la Fiscalía del Distrito Medio de Florida -Orlando- de los Estados Unidos, y de la cual tomó participación Interpol. Recientemente, la Sala Tercera de la Cámara Criminal y Correccional de Resistencia -Chaco- ha dictado una sentencia que se erige en la primera de todo el país sobre robo de criptomonedas o monedas virtuales, en este caso, denominadas Ethereums.
La empresa damnificada, de capitales radicados en Orlando, sufrió la sustracción de su billetera maestra, de más de 619 Ethereums (ETH), bajo perfiles encubiertos y hackeo de su privacidad. Al momento del hecho, la referida moneda cotizaba en alrededor de 650 dólares; con lo cual podemos calcular que no se trataba de una suma de menor cuantía. A pesar de haber encubierto todas las conexiones, alguna IP de argentina quedó al descubierto, lo que justificó la toma de razón y la radicación de competencia.[3]
Lo novedoso del fallo no es solamente el haber sido pionera a nivel país, sino además que en la misma no se realizó plenario o debate, sino que la sentencia ha sido dictada como consecuencia directa de un proceso de juicio abreviado. Siendo ello así, se nos plantea el interrogante respecto de que más allá de la ausencia de debate y producción elaborada de pruebas, debieron haber existido elementos objetivos suficientemente acreditados para que subjetivamente el imputado de autos decidiera firmar el proceso de juicio abreviado. Explicaremos esto.
En materia política criminal, la provincia del Chaco, de manera similar al compendio nacional, cuando se trata de la aplicación de penas por condenas en la justicia penal, suele ser bastante exigua, es decir, suele acercarse bastante a los umbrales mínimos de la escala establecida para el delito bajo tratamiento.
Dicho instituto, regulado en el Código Procesal Penal Provincial, establece un procedimiento en el cual el Fiscal de Investigaciones, al momento de dictar la requisitoria de elevación a Juicio, puede solicitar al juez de la causa que se realice el juicio abreviado, con la conformidad (para que el mismo proceda) del imputado y los abogados defensores. Se erige como un acuerdo entre acusado y fiscal, por el cual el primero acepta la comisión del delito, y el segundo acepta imponer el mínimo de la pena, renunciando a la realización del proceso.
El acuerdo debe contener la conformidad respecto a los hechos por los que se acusa, la calificación legal propuesta y la pena pactada. De todo ello, el Tribunal debe correr vista a la querella, cuya opinión solo resulta vinculante en el caso que la pena establecida para el delito supere los ocho años.
Ergo, teniendo en cuenta los bajos montos de pena aplicados en concreto (al dictarse sentencia y después de un largo proceso), los imputados raramente aceptan acudir al instituto de referencia, pues de aprobarse el acuerdo de juicio abreviado, el mismo sería de cumplimiento efectivo, lo que se acercaría bastante a una sentencia condenatoria, renunciando a la posibilidad estratégica de que no se logre acreditar suficientemente el delito imputado o se detecten algunas nulidades en el procedimiento, que permitan solicitar prescripción o insubsistencia de la acción penal.
La falta de plenario en el caso que nos ocupa impide inicialmente poder dar respuestas empíricas de lo ocurrido para orientar a la defensa y al imputado a firmar un juicio abreviado (aun considerando su inconveniencia).
Sin embargo, ello no nos impide afirmar que desde la óptica del imputado (hoy condenado), debieron existir ciertas condiciones objetivas que determinaron que el mismo recurra al instituto del juicio abreviado, aún sabiendo que en nuestra provincia, realizado el plenario y con una sentencia condenatoria, las sentencias suelen acercarse bastante a los mínimos legales.
En efecto, la base probatoria de cargo colectada en la Investigación Penal Preparatoria (IPP) debe haber sido muy contundente para que el imputado acepte firmar el proceso abreviado.
Es por ello que, siendo la primera condena a nivel nacional por robo de criptomonedas, se presente este como un espacio interesante para analizar la prueba y los hechos ocurridos hasta el auto de requerimiento de elevación a juicio, que nos permitan arribar a alguna conclusión en torno al tema de la presente nota.
La damnificada, es una empresa radicada en Orlando, EUA, que funciona para el trading (intercambio) de monedas, sean estas convencionales, de uso legal, o virtuales.
El Ethereum, como otras monedas virtuales, funciona bajo es sistema blockchain (cadena de bloques), el cual funciona -dicho de modo- como un libro contable, permitiendo a quienes tengan acceso, auditar el camino que ha recorrido la transferencia de dichas monedas, y determinar a qué billetera virtual han sido enviadas.
La empresa damnificada en el hecho bajo comentario posee servicio externo de fiscalización y monitoreo, que mediante un canon, permite obtener en tiempo real o mediante filmación, todos los movimientos de los usuarios en la plataforma de la empresa.
Una de las características principales del blockchain es que puede ser consultado por cualquier persona con acceso a Internet, pudiendo auditar las billeteras virtuales y determinar cuándo una persona -poseedora de una determinada billetera- envía las monedas a otra persona, y si quien las recibe realiza alguna acción con ellas.
Sin embargo, uno de los pilares para determinar la autoría de la acción delictiva en el caso bajo examen ha sido el de los indicios y presunciones probatorios. Veamos.
Existe un procedimiento que las regulaciones financieras de numerosa cantidad de países –fundamentalmente, Estados Unidos- le exigen a empresas para evitar el lavado de activos financieros de procedencia ilegítima o similares. Esta práctica se denomina "Know Your Customer" (KYC) -conoce a tu cliente-, práctica que incluso los bancos oficiales de todos los países que funcionan con monedas físicas utilizan. Esta práctica permite tanto el control, como la auditoría de clientes y de terceros que pretenden serlo.
Al crear una nueva cuenta, una persona humana (según la expresión adoptada por el nuevo Código Civil y Comercial de la Nación) utiliza su nombre, correo electrónico y una contraseña de su selección. Iniciado el proceso de logueo, el usuario recibe un correo electrónico mediante el cual debe validar su cuenta de email o correo electrónico. El cliente no puede acceder a comprar, vender ni transferir criptomonedas sin completar ese paso.
Allí se accede a la sección Mi Perfil o Configuración, donde la persona completa los datos personales y a modo de resabio de tiempos pretéritos que precedieron a la digitalización de las operaciones financieras, a fin de validar físicamente que el solicitante es quien dice ser, se le solicita escaneo de su pasaporte y una selfie, sosteniendo su pasaporte en una mano y en la otra, un papel donde el usuario debe escribir con su propia letra "Para el Uso exclusivo de -nombre de la empresa-" en inglés: "Only for trading in xxxxx" u "Only for use by xxxxx".
Esos datos se los cruza con la lista OFAC "Office of Foreign Assets Control" (Oficina de Control de Activos Extranjeros), que permite verificar si el usuario ha actuado ilícitamente con lavado de activos o financiando terrorismo. Estas medidas permiten al oficial de cumplimiento determinar -al igual que cualquier entidad crediticia- si el perfil examinado cumple con los estándares requeridos.
Una vez que el usuario está validado por el sistema, puede obtener criptomonedas, recibiendo una transferencia de terceros, realizar una transferencia bancaria desde su banco en cualquier lugar del mundo que le permita realizar una "transferencia por cable" (de Internet o de datos) -wire transfer- a la cuenta de la empresa seleccionada o efectuar la compra mediante alguna tarjeta de crédito.
Una vez que el usuario cuenta con criptomonedas disponibles en su billetera digital, puede negociarlas libremente. Ahora bien, si negocia con algún comercio que le acepte las monedas para adquirir un servicio o producto, debe inscribir -en su propia billetera- como “favorito” dentro del sistema de la empresa, la dirección o número de cuenta de esta persona o entidad con la cual haya convenido la transacción; es el mismo procedimiento que se solicita cuando alguien agrega una cuenta beneficiaria para realizar transferencias por el sistema home banking o similares. Una vez registrado el beneficiario, le llegará un mail que el usuario debe validar, aceptando la incorporación como beneficiario. A partir de allí, puede enviarle las criptomonedas que desee, siempre que las posea en su cuenta.
El mundo hoy transacciona habitualmente de esta manera y de forma legítima, debiendo incluso facturar de acuerdo a la normativa local, los servicios o productos transaccionados, como si lo hubieran sido bajo moneda de curso legal.
Según veremos seguidamente, de las investigaciones realizadas por la querella, este ha sido un punto de quiebre para determinar la ligazón entre varias cuentas operadas por el mismo imputado.
En diciembre del año 2017, el imputado se conectó con la plataforma de la empresa bajo cuenta falsa que denominaremos “D”. Este perfil o cuenta principal, mediante técnicas de hackeo y violación del sistema referido, logró extraer monedas del saldo operativo de la empresa y enviarlas a billeteras externas a la plataforma de la misma. Esta cuenta se conectó desde un acceso VPN (Virtual Private Network) con la dirección IP xxx.xx.99.20, proveniente del Reino Unido.
El concepto de IP, que en inglés significa Internet Protocol -Protocolo de Internet-, se compone de cuatro combinaciones de números, separadas por puntos. Por ejemplo: 187.25.14.190. Este número es un identificador único en el mundo; en conjunto con la hora y con la fecha, puede ser utilizado para determinar el lugar de origen de una conexión o al menos, una aproximación.
En la causa, existió una primera billetera beneficiaria, que denominaremos Nº 1, terminada en "b9fD", donde hizo múltiples transferencias hasta completar un monto de 470 monedas aproximadamente.
Posteriormente, transfirió 26 monedas desde la billetera 1 a la billetera número 5, terminada en "97b3". Lo llamativo es que la primera de estas billeteras se encontraba registrada dentro de los favoritos de la cuenta oficial del imputado en autos, al que referiremos como HMP, por las siglas de su nombre real.
Cabe aquí la pregunta: ¿por qué el imputado en autos poseía oficial y legalmente una billetera digital entre sus favoritos, que recibía monedas de lo que denominamos billetera número 1, la cual recibió 470 monedas el día del ataque, y el día siguiente la billetera número 5 recibió de la billetera 1, 26 monedas un día después del ataque?.
Es allí donde la investigación procedió a vincular los múltiples inicios de sesión con la misma IP que la cuenta que utilizó el atacante. Aquí ya no analizaremos las billeteras, sino más bien los perfiles y las IP utilizadas.
El mismo día del ataque y luego de la extracción de las 470 criptomonedas de la plataforma de la empresa, un usuario con nombre que estipularemos en “A” se registró en la plataforma de la empresa, utilizando la misma dirección IP del Reino Unido, la cual identificamos anteriormente con la numeración xxx.xx.99.20. Como se puede percibir, ese usuario “A” inició sesión el día del ataque informático desde la misma dirección IP del usuario “D”, desde Reino Unido.
Al día siguiente, la cuenta A inició sesión con una IP de Suiza, identificada como xx.xx.138.66., pretendiendo replicar el ataque realizado el día anterior, utilizando los mismos mecanismos. Al no poder realizarlo satisfactoriamente, intentó probar una variante, utilizando una funcionalidad legal dentro de la empresa, denominada Solicitud o Request, consistente en que una billetera solicita a otra que le envíe monedas. El request o requerimiento por 500 Ethereums fue realizado desde la cuenta A, hacia la cuenta que había recibido las poco más de 470 monedas.
Al finalizar el Request, el usuario cerró sesión de la cuenta de A, para luego iniciar sesión en la cuenta oficial del imputado, pero con la dirección IP de Suiza. Efectivamente, la misma que utilizó la cuenta A para solicitar a la cuenta D la transferencia de 500 monedas ilícitamente sustraídas con antelación.
Como podemos ver, el usuario detrás de la cuenta “D” atacó desde la IP de Reino Unido y transfirió 470 ETH a la billetera terminada en "b9fD" (billetera 1). Luego, esta última billetera envió 25 ETH a la billetera o cartera digital "97b3" (billetera 5), que fue validada por el imputado vía email el día siguiente al del ataque. La cuenta de A inició sesión el día anterior con la IP de Reino Unido (la misma que usó el perfil D) y al día siguiente, el perfil A y el perfil oficial del imputado iniciaron sesión con la IP de Suiza, vinculándose así las tres cuentas, dado que físicamente resulta imposible que una persona esté en tres lugares distintos; por lo que se presume que utilizó una VPN para así engañar la ubicación real desde donde se encontraba conectado.
Independientemente de que el presente ha sido escrito para una revista especializada, debemos aquí, en lenguaje coloquial, explicar que una VPN (Virtual Private Network) funciona como un túnel que disfraza la identidad desde la cual proviene la comunicación (IP) y que la red TOR (The Onion Router) es un sistema que enmascara la IP, utilizando para ello varios servidores activos en el mundo, que funcionaría -figurativamente- como red de encubrimiento.
También, debemos poner de relieve que ello no hubiera ocurrido si entre el cierre de un perfil y la apertura de otro, hubiera el imputado cortado la conexión y se hubiera vuelto a conectar, dado que (sea por TOR o por VPN) la IP hubiera cambiado.
Aquí se torna evidente lo que referíamos respecto de la brecha malthusiana entre el avance de la tecnología y nuestra capacidad de comprender el desarrollo de la misma. Evidentemente, no existe TOR ni VPN que le quite al ser humano su condición de tal.
Podemos, en fin, afirmar que los roles de cada uno de los actores vinculados en el descubrimiento y condena de la causa han actuado fortaleciendo el rol que a cada uno les tocaba cumplir: la fiscalía actuante, la División de Delitos Tecnológicos de la policía de la provincia del Chaco, con la apoyatura técnica de la querella, hemos puesto en juegos los elementos necesarios para lograr esta primera condena nacional.
Cada una de las potestades, funciones o roles de los actores involucrados -per se- podrían claramente ser considerados insuficientes para determinar el resultado final.
Léase: una adecuada detención jamás habría rendido frutos sin una preocupación fuerte de la justicia por enjuiciar al denunciado, como tampoco si no se hubiera librado la orden de allanamiento o de detención con la inmediatez que ello requería.
Ello ha generado que todas las funciones comprometidas en la causa hayan trenzado sus fuerzas, generando así una nueva composición de capacidades, que nos permite postular el principio de que ante el inminente avance de la tecnología de modos nunca antes vistos, solo logrando un trabajo coordinado y fortalecido entre todas las partes vinculadas con la investigación y el juzgamiento del delito informático, podremos obtener resultados eficientes.
Este quizás sea el elemento que referíamos inicialmente, que sea el que nos permita equilibrar la brecha existente entre el delito informático y su investigación: en un futuro, no muy lejano, solo el trabajo colaborativo podrá compensar una brecha cada vez más evidente.
Notas
[1] El autor es abogado, egresado de la UNNE. Ha dirigido la querella en la primera causa en el país por robo de criptomonedas con fallo firme. Es profesor en la UTN-FRRe, donde imparte clases de Derecho e informática desde el año 2011. Ha sido creador de la plataforma y jornadas LegalByte. Es presidente del Colegio de Abogados y Procuradores de Resistencia, presidente y fundador de la Federación de Colegios de Abogados del Chaco (FeCACh). Fue Secretario Legal y Técnico de la Municipalidad de Resistencia. Es maestrando en Derecho Administrativo de la Universidad Austral de Buenos Aires.
[2] MALTHUS, ROBERT: Ensayo sobre el principio de la población, 1798, FCE.
[3] Por razones empíricas y académicas, hemos obviado en el presente trabajo el tratamiento de diversas probanzas y situaciones de la causa que excederían largamente el objetivo del presente.
|