Reflexiones, Cibercrimen y actualidad
Por Florencia Chaparro Arias
Aníbal Mathis
“Tu margen es mi oportunidad”
Mark Zuckerberg, Cofundador y Ceo de Facebook
Para hablar de cibercrimen es preciso hablar de Internet, como fenómeno en el cual se insertan este tipo de delitos. El mundo en el cual nos movemos, el medio por el cual nos expresamos, comerciamos y nos desarrollamos, generan nuevas conductas sociales que han permitido, en principio, que todas las voces sean iguales. Internet desembarcó a nivel global con un nuevo modo de producir, comunicar, gestionar y vivir.
Sin embargo, esta herramienta en el campo jurídico genera muchísimas discusiones que en algún punto estaban cerradas. Es decir, desde que existen los ordenadores, ha existido la ciberdelincuencia. El hecho de que estemos todos conectados virtualmente, aumenta el riesgo de ser víctima de cibercrimen, resultando difícil su abordaje desde un punto de vista estático, en virtud del menú de temas que despliega.
Las tecnologías se desarrollan a una velocidad tan grande cambiando de manera constante las redes y las políticas, que impide documentarlo de una forma extendida en el tiempo.
Se advierte en la actualidad, que hay 4.5 billones de usuarios en línea, ocho de cada 10 tienen al menos una red social, generándose tres trillones de dólares de ganancias anuales.
Frente a este escenario, se considera que el cibercrimen mueve más dinero que el narcotráfico a nivel mundial, generando permanentes guerras subterráneas entre las organizaciones y los Estados.
Se calcula que una empresa común recibe, en promedio, 80 millones de ataques anuales, con el objetivo de vulnerar sus sistemas informáticos, en general, a los fines de obtener datos y venderlos en el mercado negro o pedir rescate por ellos.
A modo de ejemplo, en el mes de julio de 2020, la empresa Telecom Argentina resultó víctima de un ataque en el cual se le exigió el pago de una suma dineraria de 7,5 millones de dólares en concepto de rescate para levantar ciertos servicios de la empresa que, como consecuencia de un virus, estaban imposibilitados de uso.
Esto es lo que usualmente conocemos como hackeo, es decir, ingresar ilegítimamente en un sistema informático para obtener información o para impedir el acceso a la misma.
En razón de lo expuesto, resulta importante entender, tanto los aspectos relativos al delito informático o ciber delito propiamente dicho, como así también los desafíos existentes a los fines de la obtención de evidencia digital en el marco de la investigación para combatir este tipo de criminalidad, entendida como uno de los fenómenos de delincuencia trasnacional organizada que más ha crecido en la actualidad.
La oficina de las Naciones Unidas contra la droga y el delito (UNODC), que es el organismo de aplicación de la Convención de Palermo, que a su vez complementa la Convención de Naciones Unidas contra la delincuencia Organizada Trasnacional (UNTOC), trabaja sobre ciertos fenómenos concretos que considera crimen organizado, e identifica cuáles son los fenómenos emergentes de la delincuencia organizada. En tal sentido ha puesto especial atención en el cibercrimen, configurándolo como un nuevo campo de acción, y a través de grupos de expertos, se elaboran diagnósticos para abordar eficientemente este tipo de delincuencia, que en los últimos años ha mutado parte de su esquema de negocios a Internet.
Más allá de lo expuesto, todavía existen muchas regiones del mundo en los que el acceso a la información es escaso, generando desigualdades a nivel mundial.
Garantizar que Internet funcione, y el trabajo para hacer de Internet un entorno seguro, es una de las principales misiones de Naciones Unidas.
Cibercrimen y Justicia [arriba]
En el mundo judicial, los delitos tradicionales tienen siempre las misas lógicas. Es decir, el esquema principal no cambia.
Por su parte, el cibercrimen ha evolucionado desde los primeros casos, donde los delitos consistían en fraudes a tarjetas de crédito, hasta la actualidad, registrándose por ejemplo bandas que captan personas en el país, o encuentros sexuales que primero eran llevadas a cabo fuera de Internet y que en la actualidad, en contexto de pandemia, han mutado sus formas con captaciones de personas para hacer zoom de pornografía a demanda, y a su vez, aceptándose como probable que este escenario también sea susceptible de cambios en los próximos meses. Así, a modo ilustrativo, el reclutamiento de personas para la trata laboral que antes se configuraba a través de la radio o los diarios, hoy es llevado a cabo a través de las redes sociales (ej. Facebook)
El desafío de los investigadores es proporcionar dinámicas de trabajo para encarar fehacientemente estos temas.
¿Qué es lo que consideramos cibercrimen? [arriba]
El campo de actuación de este tipo de delincuencia resulta de suma importancia para entender cuál es el punto de partida, y esclarecer de qué hablamos cuando hablamos de cibercrimen.
En tal sentido, podemos englobar un fenómeno que contiene dos aristas distintas:
Computer crimes. Son los delitos dirigidos contra los sistemas informáticos. En el Código Penal argentino se traduce en accesos no autorizados (entrar sin permiso), daño informático (alteración, supresión o hacer inaccesible determinados datos), difusión y alteración de comunicaciones electrónicas.
Estos delitos han sido introducidos en la Ley N° 26.388, que fue sancionada en el año 2008, receptándose como principales entrar sin permiso (versión digital de la violación de domicilio, o el ingreso a sistemas excediendo la autorización permitida).
Por su parte, la Ley N° 26.388 no establece una definición de sistema informático. En efecto, la misma se deduce de la convención de Budapest (Convenio sobre la ciberdelincuencia, Budapest 23.XI.2001), que en el art. 1 establece que se entiende por sistema informático: “todo dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre sí, cuya función o la de alguno de sus elementos sea el tratamiento automatizado de datos en ejecución de un programa”, pudiendo ir desde un teléfono celular, hasta una play station.
En tal sentido, las penas serán sustancialmente diferentes dependiendo del tipo de sistema informático al que se ingrese.
En la Argentina, por ejemplo, ingresar en un sistema informático estatal tiene una pena diferente al ingreso en un sistema informático privado. Sin perjuicio de ello, el ingreso como tal es un delito chico en materia penal, cuyo bien jurídico protegido es la privacidad, y son de acción privada.
Lo mismo sucede con la intercepción de comunicaciones, que son delitos que ya se encontraban previstos, tanto en la Constitución Nacional como en el Código Penal argentino, fundamentalmente dirigido al correo postal. En decir, desde nuestra lógica constitucional, y de protección de bienes jurídicos todo lo concerniente a las comunicaciones siempre fue materia importante.
El legislador incorporó la comunicación electrónica pensando en el e-mail y la telefonía celular como parte de las comunicaciones en general.
Así, surgen problemas concernientes a la interrupción de comunicaciones o servicios en general, vinculados a fenómenos nuevos, los denominados piquete digital y hacktivismo o ciberactivismo, que en pos de garantizar el ejercicio de la libertad de expresión, plantean nuevas discusiones en torno al ejercicio de derechos en Internet y su estrecha relación con los derechos consagrados en los arts. 14 y 14 bis de la Constitución argentina, que traen aparejados nuevos conflictos, como por ejemplo, dejar inactivo un sitio web, ya sea por discusiones acerca de la promoción de derechos, por cuestiones de competencia de mercado, o por querer hacer que la economía de un país tiemble, cómo sería por ejemplo en el contexto actual de pandemia, en virtud del COVID-19, que la red BANELCO se encuentre “fuera de servicio”. La Argentina no está exenta de ataques informáticos destinados a hacer que la banca no funcione.
En la actualidad, existen en otros escenarios internacionales, áreas de ciberdefensa, que estudian el uso de los sistemas y los programas informáticos destinados a ocasionar daño (malware) para hacer lo que se considera un ataque armado. En tal sentido, los escenarios de invasión de un país tienen otra lógica, vinculados exclusivamente con la tecnología. Todas estas cuestiones tienen que ver con la protección de infraestructuras críticas, englobados dentro de lo que son los ataques como fin, es decir, Computer Crimes.
Los más conocidos hoy en la argentina son:
DDos: ataque distribuido de denegación de servicios: piquete digital.
Se genera mediante la saturación de los puertos con flujo de información, haciendo que el o los servidores se sobrecarguen y no puedan seguir prestando servicios, por eso se le denomina “denegación”, pues hace que el servidor no dé abasto a la cantidad de solicitudes. Esta técnica es usada por los llamados hackers para dejar fuera de servicio a servidores objetivo. En algunos momentos de la historia, en determinados países se intentó silenciar algunos medios. Hay empresas (ej. Google) que se dedican a mitigar estos ataques poniendo la espalda y evitando que estos ataques lleguen a buen puerto.
¿Por qué DDoS? [arriba]
Los criminales utilizan DDoS ya que es barato, difícil de detectar, y altamente efectivo. Los ataques por DDoS son baratos porque pueden proporcionar redes distribuidas de cientos de ordenadores zombies infectados con gusanos u otro tipo de métodos automáticos. Por ejemplo, los ataques DDoS de MyDoom utilizaron un gusano para distribuir el lanzamiento de un ataque por flujos. Debido a que estos botnets (equipos conectados a Internet) se venden y están disponibles globalmente en el mercado negro, un atacante puede comprar el uso de un botnet por menos de 100 dólares para un flujo de ataques, o contratar ataques específicos por 5 dólares la hora.
Los ataques DDoS son difíciles de detectar ya que a menudo utilizan conexiones normales e imitan el tráfico autorizado normal. Como resultado es altamente efectivo ya que normalmente los servidores objetivos confían por error en el tráfico y, por tanto, facilitan los ataques ejecutando la solicitud que en última instancia los inunda.
Ransomware: programa que tiene como objetivo hacer que los datos sean inaccesibles, con la finalidad de pedir un rescate por esos datos.
Estos malwares pueden llegar a generar muchos daños.
El primer gran ataque de ransomware a nivel mundial, ocurrió con fecha 11/06/2017, como consecuencia de un virus que ingresó en el sistema de Salud británico, impidiendo acceder al National Health Service (NHS), y puntualmente, a las historias clínicas de los pacientes en terapia intensiva, colapsando gran parte del sistema de salud. Si ello ocurriría, por ejemplo, en el contexto que el mundo atraviesa en la actualidad, en el cual mucha gente depende de la provisión de respiradores ¿cuánto dinero estaría dispuesto a pagar el Estado para poder recuperar los datos que permitan mantener a la gente con vida?
Actualmente se trabaja con alertas de interpoles acerca de la proliferación de ataques destinados a los sistemas de salud, específicamente a los servicios de emergencia, ya que los criminales entienden que allí están las mayores debilidades del mercado ya que el desarrollo de la seguridad requiere mucho dinero.
El ransomware tiene sólo tres años de vida, y a diferencia de los DDoS, puede mutar permanentemente. Existen empresas con cepas de ransomware listas, con un programa madre que contienen un código se va mutando, para ir ajuntándolo. Los ransomware nuevos son indetectables. La única forma de frenarlo es con prevención. Son delitos que dependen exclusivamente de la víctima y especialmente de los cuidados que tome.
En tal sentido, el ransomaware no deja de ser un daño, una extorsión. Sus creadores son organizaciones sofisticadas, expertos en cubrir sus rastros. Sin embargo, el factor humano es influyente, y quienes hacen ransomware no lo hacen una vez, sino muchas veces, y en muchas ocasiones dejan rastros en el código que permiten rastrearlos. Esos indicadores, combinados con cuestiones que hacen a investigaciones encubiertas, permiten conectar los puntos para encontrar al autor.
Medio comisivo de delitos tradicionales a través de Internet (computer related crimes) [arriba]
Existe un amplio abanico de delitos que se cometen fuera de las redes, que también son susceptibles de ser cometidos con lógicas que suceden exclusivamente dentro de Internet.
El delito de fraude, lavado de dinero, trata de personas, tráfico de armas, drogas, e infracciones a la Ley de Propiedad Intelectual, por ejemplo, se configuran como delitos que se fueron adaptando a las nuevas realidades. A modo de ejemplo, el delito de amenazas comprendido en el art. 149 bis y149 ter del Código Penal Argentino, que fue mutando en función de las relaciones humanas, agregándose las amenazas por teléfono como tipo agravado, o amenazas por otras plataformas, como whatsapp, twitter, etc. Las redes sociales tienen cierta lógica que permite que determinadas personas cometan acciones que de otra manera no haría. Así, dependiendo de la plataforma que se utilice, surgen cuestiones vinculadas al tipo de tolerancia, tipo de discurso que se da, polarizaciones que pueden surgir con respecto a temas sensibles. Ej: viralización de la violencia en los discursos políticos de campaña en la Argentina y en Brasil.
Probablemente y visto más en contexto de pandemia, los fraudes han ido mutando a Internet porque el comercio se incrementó allí. Así, mediante la utilización de billeteras digitales (ej: Mercado Pago), generan que la posibilidad de comisión de delito de fraude en Internet esté mucho más presente, quizá con tipos nuevos de defraudaciones clásicas del art. 173 inc. 15 o 16, y no tan presente con el fraude tradicional de la puesta en escena de ardid engaño y disposición patrimonial. Sin embargo, ese tipo de fraude también está presente en Internet, simplificado por el anonimato y por ciertos fenómenos sociológicos que implican que la gente en Internet todavía pueda resultar más “ingenua” que, en el mundo físico, apareciendo así nuevos tipos de estafa.
Pornografía infantil/ imágenes de abuso sexual infantil [arriba]
En épocas pre-Internet, las imágenes se producían con cámaras que no eran digitales, y captar la imagen de un niño implicaba tener que llevarla a un lugar, revelarla y distribuirla a través de utilización del correo postal. La tecnología y la posterior evolución de las cámaras con rollo a cámaras digitales, trajo aparejado no solo la posibilidad de almacenar más contenido digital, sino también hacerlo de manera más segura ya que no era necesario saber revelar ni revelarlas.
Como consecuencia, gente que abusaba, pero no sacaba fotos, empezó a hacerlo, primero con cámaras digitales y luego con teléfonos. La fotografía llegaba en formato digital, se detectaban en el correo argentino y se iniciaban los casos. La llegada de Internet combinó la posibilidad de sacar fotos y distribuirlas sin riesgo. Esto dio lugar a que cada vez más personas se volcaran a esta modalidad de distribuir imágenes y además la lógica de estas organizaciones implican que quien quiera recibir las imágenes, tenga que producirlas.
Internet ha permitido, además, la creación de FOROS donde el agente puede realizar abusos sexuales en vivo, ya sea a través de zoom u otra plataforma y, además, pagar para ver cómo se abusa a un menor y para que el agresor haga determinada cosa con la víctima, facilitándose a través de Internet el crecimiento de este delito, que, junto con el fraude, se configura como el delito de mayor trascendencia en la actualidad. Estas imágenes se distribuyen usualmente por canales monitoreados, usándose grupos de whatsapp o algún chat con mensajería más sofisticada, ej. cuentas de correo cifradas.
El gran porcentaje de casos en la Argentina, provienen de reportes que generan las mismas plataformas (Facebook, Instagram, twitter, telegram, etc), que detectan dónde está asignada la conexión de Internet del dispositivo que comparte el material y, si la dirección de IP corresponde a la Argentina, se envía el reporte a través de la Unidad de Cibercrimen de la Ciudad Autónoma de Buenos Aires, que a su vez los reenvía al interior del país en función de la localidad donde se encuentre ubicada la conexión. También provienen de INTERPOL, que tiene una red I-24/7, contra las redes de distribución de imágenes de abuso infantil. Interpol coordina las investigaciones en paralelo en cada país.
En la mayoría de los casos se da el abuso intra familiar y, por el otro lado, la captación engañosa de niños a través del otro delito, que es el GROOMING (Ley N° 26.904), que se configura como el contacto inapropiado del adulto con el niño, en el cual el adulto se hace pasar por un menor con el objeto de cometer un delito contra su integridad sexual. Es un delito nuevo en el país, significa un adelantamiento de la punición para sancionar no el abuso del niño sino el contacto con fines del abuso, que a veces viene acompañado del encuentro físico o de la producción de material, en la cual el menor es extorsionado para que genere más material, bajo amenaza de viralizar el contenido.
Sin perjuicio de ello, existen sitios web que promueven la justificación de este tipo de delitos de abuso, a través de páginas denominadas del movimiento “MAP” (personas atraídas por niños), que refieren una lógica de amor diferente, justificando estos abusos y diferenciándolo de la pedofilia, por asumir la atracción hacia los niños, sin mediar abuso.
En la Argentina, se sancionó la Ley N° 27.436, que penaliza la tenencia simple de pornografía infantil, modificando de ese modo el art.128 del Código Penal. Ello, basado en una lógica empírica apuntada a la cantidad de casos de personas que almacenaban fotos, pero al no distribuirlas quedaban fuera del sistema penal, ya que antes el Código Penal argentino sancionaba la distribución, la producción y la tenencia solo con fines de comercialización.
La distribución de imágenes de abuso sexual infantil es competencia de la justicia local. Sin embargo, al asociarlo con el delito de trata y teniendo en cuenta a la pornografía infantil como delito conexo a la trata, se podría pasar esa “línea divisoria” y reenviar el caso a la justicia federal por trata.
Evidencia digital. ¿Menos es más? [arriba]
La evidencia digital desafía la forma de llevar a cabo toda la investigación penal. No hay investigación en ciber que no tenga evidencia digital.
A diferencia de la evidencia física, en este escenario la prueba “está latente” y posiblemente no se encuentre a simple vista. La lógica del expediente y el “ir a fojas”, es reemplazado por sistemas de búsqueda con palabras clave.
El tiempo que implica procesar información digitalizada, la falta de recursos para obtenerla, la imposibilidad de procesar toda la prueba, la fragilidad que la caracteriza, y la lógica del sistema acusatorio, donde existen plazos para llevar a cabo la investigación (art. 119 CPPF), implican la necesidad de seleccionar un “paquete” que permita ir a juicio con lo que la inteligencia artificial programada pueda traer como información. Frente a este cuadro de situación, la teoría del caso asume un papel protagónico, que incluye la toma de decisiones estratégicas a los fines de obtención y preservación de la evidencia, que pueden llevar al éxito o al fracaso de la investigación.
Por eso, menos, es más. Esta premisa trae aparejado un cambio de paradigma del esquema clásico de “querer analizar todo”, y re conducir la investigación con estos nuevos esquemas, en los cuales, en la mayoría de los casos, la prueba se pierde ya sea por su fragilidad, o por no saber cómo cuidar la información que tenemos. Así, por ejemplo, la información almacenada en Internet se puede borrar remotamente en tiempo real. Para mitigar este tipo de conflictos, lo primordial es que una vez que se consigue información determinada, se pida la preservación de esa evidencia, para luego poder pedirle al juez que emita la orden para obtener la información.
Actores involucrados. Cooperación [arriba]
Entendemos que las investigaciones en cuanto las delimitas pierden fuerza. Bajo esta premisa, las reglas deben ser interpretarlas laxamente.
Otro de los factores a tener en cuenta en este tipo de criminalidad organizada, es que siempre tienen un componente internacional. El imputado, la víctima o bien la prueba pueden estar repartidos en varias jurisdicciones.
Determinar cuál es el juez competente, dónde voy a buscar la prueba y cómo obtener la evidencia digital, son temas recurrentes en un escenario multijurisdiccional.
Los jueces están habilitados a intervenir en aquellos lugares donde haya habido actos de relevancia típica, estableciendo la competencia, ya sea por el lugar donde estaba la víctima, o donde ella incurrió a ejercer sus derechos, o en razón del lugar donde el imputado pueda ejercer mejor su derecho de defensa.
La Convención de Budapest ha sido ratificada por 60 Estados. Así, países como Rusia o China, no forman parte. En estos supuestos, recurrimos a otros mecanismos habilitados, como la INTERPOL o la entrega espontanea de información.
La entrega espontanea de información, permite entregar el caso por considerar que el mismo tenga más posibilidades de ser juzgado en otro país, ya sea por ejemplo por no poder acceder a la prueba.
La cooperación internacional contiene aspectos jurídicos y políticos. Hay países donde los pedidos de cooperación pasan primero por un filtro. Los acuerdos contraídos con otros países, están basados en los tratados, que son Contratos, que se rigen por las disposiciones de ese tratado, que además está regido por otro de rango superior que es la Convención de Viena sobre el Derecho de los Tratados.
Estas obligaciones contraídas generan compromisos con los estados parte. La obligación de cumplir cuando el estado realiza peticiones. En los casos en los que no media un acuerdo previo, la forma de obtener la información es a través de carta rogatoria, basada en el principio de reciprocidad, que no sirve cuando hay un tratado entre las partes.
Sin embargo, en muchas ocasiones, en este tipo de delitos, la rapidez con la cual se necesita obtener la información resulta incompatible con las formalidades del tratado. ¿De qué forma intercambiar evidencia? Por un lado, a través de redes de fiscales de cooperación internacional, generando puntos de contacto con mayor o menor grado de formalidad, con la finalidad de brindar información legal, y por el otro, a través de cooperación asimétrica, es decir, pedir información a las empresas. Cabe destacar, que el carácter de la entrega que las empresas realizan es voluntario, y es necesario entender la lógica en la que se desplaza, ya que cada empresa es un mundo.
A modo de cierre, en las cuestiones que vinculan tecnologías, es importante el grado de implicancia que asuman, tanto las legislaciones como los estados, a los fines de abordar esta problemática en la que intervienen múltiples actores a nivel mundial.
Una de las diferencias está dada en la inversión realizada en sistemas de seguridad informática.
En líneas generales, la mayoría de las empresas considera que la inversión realizada en sistemas de seguridad, implica un gasto más que una solución, generando niveles de vulnerabilidad más altos.
En la Argentina no existe ningún organismo solido ni solvente que regule la forma en que las empresas tienen que cuidar la seguridad informática, salvo aquello concerniente a la protección de las bases de datos (regulada por la ley de protección de datos personales), a través de una ley vieja, con multas irrisorias, y lo concerniente a las infraestructuras críticas de la info: luz, gas, servicios financieros, que son aquellos activos en los que el estado tiene especial interés, tanto que los ataques a esos sistemas implican daño agravado del art. 185 inc. 5 (bien de uso público).
A partir del año 2019 surge la creación de estrategias nacionales de ciberseguridad, traducidas en políticas públicas tendientes a generar a las empresas, la obligación a de radicar la denuncia frente a un ataque informático.
En ese sentido, ya sea por la continuidad del negocio, o bien porque invierten mucho dinero, tienen una política de compliance más fuerte que hacen que esos niveles de seguridad sean más altos. Estas organizaciones son víctimas de enorme cantidad de fraudes y ataques informáticos permanentes. A través de los años, argentina ha generado una especie de “alianza estratégica” y niveles de confianza, que permite que nos denuncien casos y nos traigan su denuncia.
|