Ciberdelitos que impactan a las empresas

Las personas jurídicas no están exentas de ser víctimas del accionar delictivo en la era digital

.
 .  (Foto: iStock)

La existencia humana cambió radicalmente cuando el hombre introdujo el uso de la rueda como una herramienta para simplificar el transporte. Desde entonces, el ser humano no se ha detenido y cada día podemos ver la introducción de nuevos instrumentos que buscan facilitar la vida cotidiana.

La tecnología se ideó con la intención de hacer simple lo complejo, de que el individuo tuviera una existencia más sencilla y pudiera destinar su tiempo a tareas más prioritarias, literalmente hacer más con menos esfuerzo. Actividades que en épocas anteriores implicaban horas de trabajo ahora son llevadas a cabo por mecanismos tecnológicos que permiten que el ser humano dedique ese tiempo en otro tipo de actividades. El uso de la tecnología con fines ilícitos es en la era digital uno de los mayores problemas que no debe pasar inadvertido, toda vez que prácticamente cada día dependemos más y más de la tecnología para el desempeño de múltiples funciones. La dependencia tecnológica también ha hecho al ser humano “inútil” en ciertas tareas, que nuestros padres y abuelos antes hacían cotidianamente; los delincuentes se han válido de esa dependencia y han tomado una ventaja considerable para el desarrollo de sus acciones.

El ciberespacio puede ser considerado como un metaespacio, un sitio intangible en el que confluimos e interactuamos todos, eso incluye a los delincuentes y el accionar de estos muchas veces no solamente genera un impacto en el esa red de redes, sino que puede producir consecuencias (inclusive más severas) en el mundo físico, las personas físicas y las empresas no están libres de los riesgos que tiene este “Amazonas salvaje”,  “mundo oscuro” o “realidad espejo” como suele denominarlo el maestro Jesús Edmundo Coronado Contreras coordinador editorial de Fiscal, Jurídico Corporativo y Comercio Exterior en IDC Asesor Fiscal, Jurídico y Laboral y coordinador de la comisión de Derecho Penal Internacional en el Ilustre y Nacional Colegio de Abogados de México A.C., quien a continuación profundiza sobre aquellos ciberdelitos que más afectan a las personas morales.

Panorama

El mundo en el que vivimos en la actualidad está rodeado por instrumentos tecnológicos, dispositivos como smartphones, smartwatches, tablets, cámaras, grabadoras, bandas electrónicas, etc., la gran mayoría conectados con otros usuarios que cuentan con medios similares. Todos ellos interactuando a cada instante conformando la famosa red de redes o el ciberespacio.

Este metaespacio es una clase de “Amazonas salvaje”, justamente por la falta de una regulación adecuada es que lo torna en un sitio lleno de riesgos por el accionar de la ciberdelincuencia.  En sus inicios el ciberespacio se pensaba que podía ser aquel lugar donde era factible realizar aquellas actividades que no se hacían en el mundo real, que todo sería armonioso y no se necesitaría de la intromisión de una autoridad para fijar las normas de convivencia, justamente porque todos los actores involucrados coincidían en los mismos principios. Idea romántica que tristemente no se concretó de esa manera.

Lo anterior, se ha debido por el accionar de la ciberdelincuencia que ha hecho que el ciberespacio más que un Amazonas salvaje sea un mundo oscuro lleno de peligros y que hacen el imperativo el tener que regulalo.

Hay autores que sostienen que resulta “ocioso” normar los ciberdelitos porque estas conductas delictivas ya están previstas en los ordenamientos penales; quienes cuentan con conocimientos en materia penal podrían diferir de esa apreciación porque pareciera que se desea aplicar la analogía en temas penales, principio que no tiene cabida en ese campo.

Otros sostienen que la tecnología y el derecho nunca podrán ir a la par y por lo tanto debe dejarse que la tecnología se regule a sí misma. Efectivamente, pedirle al derecho que vaya a la misma velocidad que la tecnología sería como esperar que un águila vuele igual que un avión, lo cual es imposible.

Pero incluso el derecho no puede ir a la par de la realidad social, de ahí que siempre se tengan que efectuar cambios normativos para “adecuarnos” a esos cambios que sufre la sociedad. Eso no evita que exista la regulación, misma situación acontece con el ciberespacio, donde es imperativo contar con una legislación especializada.

Tipología de los delitos

El derecho penal se ha caracterizado por ser aquella rama jurídica que se encarga de estudiar los delitos y las penas.

Aquí toma relevancia el idioma español, ya que muchas veces solemos emplear sinónimos para definir o delimitar ciertos conceptos cuando su origen es distinto. Ese es el caso de crimen y delito, puesto que no es lo mismo la conducta socialmente reprochable (crimen) que la conducta jurídicamente sancionable (delito). Los doctrinarios de este campo solían enunciar que la materia penal era eminentemente localista, porque la conducta típica, antijurídica, culpable y punible en una jurisdicción no necesariamente podía catalogarse de esa manera en otra diferente.

Para ilustrar lo anterior sirve la “blasfemia”, la cual no es considerada un delito dentro del sistema jurídico mexicano, dependiendo el contexto podría catalogarse como una forma de libertad de expresión, pero si vamos a Pakistán la pena por el delito de blasfemia es la muerte, porque se trata de un sistema jurídico religioso.

Sin embargo, gracias a los avances de la tecnología las distancias se han reducido, pues ahora se afirma que todo el mundo está conectado y somos habitantes de la “aldea global”.  La introducción de adelantos que facilitan el comercio y las comunicaciones ha propiciado que sea cotidiana la interacción entre individuos de distintas nacionalidades.

De ahí que ahora se afirme que existe una nueva tipología de delitos y que la materia penal se haya redimensionado. No existen únicamente los delitos nacionales o locales; la nueva tipología de los delitos debe incluir otras categorías más allá. Existen los delitos internacionales que son aquellos considerados como las máximas ofensas que conoce la humanidad, incluso existe un tribunal internacional que los sanciona como es la Corte Penal Internacional, que es el ente encargado de aplicar justicia por la comisión de hechos delictivos tan graves como lo son el genocidio, la agresión (crimen contra la paz), los delitos de guerra y los de lesa humanidad, los cuales son catalogados como lo peor.

También tenemos, en estos tiempos más que otros, amenazas de corte global, como lo son el terrorismo y la piratería marítima que, si bien terminan siendo perseguidos y castigados a nivel local, no dejan de ser situaciones de corte global por el impacto que generan. El ataque terrorista en un aeropuerto internacional tiene implicaciones en todo el mundo, no únicamente en el lugar donde se cometió. El ataque pirata a una embarcación conlleva una serie de problemáticas al comercio internacional. No hay un tribunal internacional que castigue estas conductas, pero su impacto es global. Inclusive en este tipo podrían encuadrar algunos delitos ambientales, ya que un derrame petrolero en alta mar o el daño a la capa de ozono tienen consecuencias para el mundo entero.

Igualmente, en la actualidad suele aludirse mucho a un término cada día más constante en nuestro vocabulario, que es la delincuencia organizada transnacional, la cual opera de manera transfronteriza, efectuando sus actividades en varias jurisdicciones, justamente porque sus ganancias son redituables es que ha expandido sus horizontes. Delitos como la trata de personas, el tráfico ilícito de migrantes, órganos, flora y fauna, residuos, estupefacientes, armas y también hidrocarburos no se limitan nada más a la esfera local, sino que se realizan en varias jurisdicciones.

El elemento transnacional nos lo da que estas conductas son planeadas en una jurisdicción y ejecutadas en otra o sus consecuencias se dan en diferentes jurisdicciones o hay multiplicidad de nacionalidades involucradas entre delincuentes y víctimas.

Desde inicios de la década de los 80’s del siglo XX se hablaba mucho de la posible colonización del espacio exterior y que en un futuro no muy lejano se harían viajes espaciales y demás, ante ello es que algunos doctrinarios como Rafael Moro afirmaban que en su momento tendríamos delitos ultraterrestres y que deberían recibir un tratamiento particular porque involucrarían cuestiones de tecnología y del espacio sideral.

Sin embargo, pese a los avances de la tecnología todavía no se llega a ese escenario, pero si nos ha brindado la existencia del ciberespacio, descrito en líneas previas y de la ciberdelincuencia. En dónde se cometen estos ilícitos, hay tribunales especiales del ciberespacio, hay entes que los sancionan, todas estas preguntas no tienen una respuesta absoluta, y eso nos ha llevado a tener que hablar de delitos ubicuos, debido a que el ciberespacio es un sitio donde confluimos todos.

Por lo anterior, es que suele denominarse a esta nueva tipología del delito como la teoría del guantelete para hacer más sencilla su explicación porque cada tipo de delito puede emular a los dedos de un guante; como puede apreciarse en la infografía que se incluye en este apartado.

Ciberdelincuencia

Una vez descrita toda esta nueva teoría podemos centrarnos en los delitos ubicuos y en los ciberdelitos, los cuales también pueden clasificarse como un segundo guante de la delincuencia actual, y que se analizarán a continuación minuciosamente.

La víctima en estos bienes puede ser una persona física o una persona moral, ninguno de las dos está libre de sufrir por el accionar delictivo. A continuación, se pormenorizará aquellos que inciden o tienen mayores repercusiones en una empresa.

Identidad

Dentro de la primera tipología está la identidad, para ello primeramente habría que dilucidar lo que es la identidad digital. La identidad en sentido tradicional se puede afirmar que está conformada por lo que es el nombre y apellidos, fecha de nacimiento, domicilio, sexo, en algunos casos se incorpora lo referente al grado de estudios.

En el ciberespacio, si bien podrían retomarse esos elementos para conformar la identidad digital, esta podría ser incluso más amplia porque dependerá mucho del tipo de acciones que se lleven a cabo en el nuevo metaespacio. Es cada vez más frecuente que se realicen compras de cualquier tipo en portales o sitios o que mediante aplicaciones se lleven a cabo transferencias bancarias, lo cual significa una simplificación en la vida cotidiana, pero ello también implica un reto importante en cuanto a la seguridad de la identidad y la privacidad de los datos que se manejan.

Dentro de las principales problemáticas está demostrar la identidad, puesto que muchas veces se desconoce quién es el individuo que efectúa determinada acción en el ciberespacio.

En este punto es importante destacar que existe el famoso phishing, que para los expertos en informática consisten en hacerse de los datos de una persona y usarlos para diversos propósitos; este término hace alusión al fishing que sería “pescar” los datos o la información de una víctima mediante engaños o diferentes maquinaciones.

Esa conducta suele ser una de las amenazas más comunes en la actualidad y que afecta a las empresas debido a que si se sustraen los datos ilegalmente pueden generarse severas consecuencias.

Desde la óptica estrictamente jurídica no puede afirmarse que el phishing es un delito, sino que aquí se tendría que hacer alusión a tres conductas diferentes, pero que muchas veces suelen usarse indebidamente como sinónimos. Por ello, es vital describir detalladamente en qué consiste el robo, la suplantación y la usurpación y cómo estos inciden en la identidad. En primer lugar, se tratan de tres hechos distintos y pudieran ser justamente, tres ciberdelitos diferentes.

En un sentido estricto, el robo sería el punto de partida o de este depende que se puedan llevar a cabo los otros dos actos, tanto la suplantación como la usurpación porque implica la sustracción de información y datos del individuo; se trataría entonces del primer hecho delictivo. Ello, ya que puede existir el robo (sustracción) de información o de datos sin necesariamente emplearlos para suplantar o usurpar a una persona, pues puede ser que quien cometió ese acto los venda o los utilice para extorsionar (ransomware, para los informáticos) al afectado.

La suplantación consiste en sustituir al individuo, es decir, reemplazar a la persona mediante el uso indebido de la identidad, haciéndose pasar por ella en lo particular. Y la usurpación conlleva el ostentar el cargo o funciones del afectado, en otras palabras, no solamente implica el sustituir al individuo, sino que también ejercer o ejecutar las atribuciones que tiene en virtud de un encargo en particular. De lo anterior, puede afirmarse que se trata de tres circunstancias distintas; si bien pueden ser concatenadas, no necesariamente pueden ser llevadas a cabo por un mismo agente.

Por todo esto, es que en la práctica ha sido complicado regular estos hechos delictivos, porque muchos legisladores (no solamente en nuestro país) han intentado englobar estos tres actos en un tipo penal único, pues manejan el robo, la suplantación y la usurpación como equivalentes y como se ha apreciado pueden y existen diferencias sustanciales entre los conceptos. A nivel del ciberespacio podría presentarse el caso de que un individuo puede “suplantar” la identidad de una persona moral y fingir el prestar un servicio y obtener una ganancia, si bien esa conducta puede ser un fraude, se trata también de una suplantación de la identidad en sentido estricto, porque estaríamos ante dos víctimas, por una parte, quien sufre la suplantación y por otra quien ve la pérdida de su patrimonio por el ciberfraude.

Privacidad y protección de la información

Otro de los bienes que se encuentra entredicho constantemente a nivel del ciberespacio es la privacidad, la cual para muchos inclusive ya no existe en esta era digital porque al aceptar los conocidos “términos y condiciones” se está cediendo o permitiendo que nuestra información sea usada por terceros.

La información digital es preciada a un nivel incomparable en la actualidad y ha cambiado las reglas del mercado. En nuestro país tenemos dos legislaciones en la materia, una es la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) y la otra es la reciente Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (LGPDPPSO); adicionalmente al hecho de que existe el Instituto Nacional de Transparencia y Acceso a la Información (INAI).

Las empresas y organizaciones privadas deben cambiar la forma en la que recaban los datos personales de sus clientes, socios y empleados, a fin de evitar multas millonarias que pueden imponerse si no se acata lo dispuesto en la LFPDPPP. Pero pese al manejo y tratamiento de datos personales, las empresas están expuestas a ciberdelitos contra la privacidad y la protección de la información, puesto que hay documentos que por su especial naturaleza no deben estar al alcance de terceros, y si estos son sustraídos porque estaban alojados en la famosa “nube” se está ante un robo informático.

Las personas morales tienen derecho a la privacidad, como lo ha sostenido la Suprema Corte de Justicia de la Nación mediante la jurisprudencia de rubro: PERSONAS MORALES. TIENEN DERECHO A LA PROTECCIÓN DE LOS DATOS QUE PUEDAN EQUIPARARSE A LOS PERSONALES, AUN CUANDO DICHA INFORMACIÓN HAYA SIDO ENTREGADA A UNA AUTORIDAD, visible en la Gaceta del Semanario Judicial de la Federación, Décima Época, Registro: 2005522, Jurisprudencia: P. II/2014 (10a.), febrero de 2014.

La grabación ilegal de conversaciones también podría considerarse que afecta la privacidad, tanto de los integrantes de la persona moral como a esta.

Patrimonio

En esta categoría se encuentran aquellos ciberdelitos que inciden dentro del patrimonio de sus víctimas, es decir, aquí se localizarían algunos como lo es la clonación de tarjetas, donde los recursos bancarios son sustraídos; el sabotaje de medios informáticos, cuando se afectan los medios y dispositivos puede ser por medio del famoso spam saturando las cuentas de correo; la ciberextorsión, la cual puede tener tintes sexuales, pero también corporativos cuando se hacen amenazas con revelar secretos industriales; la denegación de servicios que consisten en diezmar el sistema de una empresa para que no pueda efectuar el servicio ofertado.

En este campo en México, por ejemplo, se tiene la Ley para Regular las Instituciones de Tecnología Financiera conocida como la Ley Fintech, en ella se encuentran regulados algunos delitos que podrían vincularse con el presente, especialmente con este tipo de ciberdelitos por su naturaleza en particular.

Esta legislación contiene un apartado en el que se detalla lo que son los delitos para la protección del patrimonio de los clientes de las instituciones de tecnología financiera y de las sociedades que operan modelos novedosos, aquí puede encajar también parte del supuesto que se trataba en líneas previas respecto a la suplantación de la identidad y el ciberfraude.

También la citada norma contempla delitos para la protección del patrimonio de las fintech y de las sociedades que operan modelos novedosos. En esta categoría es posible incluir muchos de los ciberdelitos vinculados con cuestiones sexuales y que indirectamente pueden afectar a las personas físicas en su imagen, reputación y demás e indirectamente también realizar una “publicidad negativa” de la empresa porque se puede traducir esta en un menoscabo a su patrimonio. 

Propiedad intelectual

Dentro de este tipo puede localizarse aquellos que atentan contra los derechos de autor principalmente. El ejemplo clásico es el de la piratería que está contenida en el Código Penal Federal (arts. 424 bis y 424 ter). En este campo, lo que suele producirse constantemente en el ciberespacio es la clonación de sitios web donde se venden productos de marcas prestigiosas.

La Organización Mundial de la Propiedad Intelectual (WIPO por sus siglas en inglés) ha hecho diversos esfuerzos por combatir los delitos en este campo, en especial ahora cuando involucran tecnología, mediante capacitación en prevención y en la generación de propuestas legislativas para erradicar estas conductas. 

Seguridad

La seguridad es un bien jurídico preciado desde siempre, toda vez que a partir de esta muchas veces suelen garantizarse otros como es la integridad y la vida misma. La seguridad individual y la seguridad nacional son temas que resultan esenciales, como en tiempos pasados. Esta categoría de ciberdelitos incluso puede ser considerada como la más agresiva. Al nivel empresarial estos ilícitos tienen un impacto importante porque en México, así como en gran parte del mundo en la actualidad se da el conocido fenómeno de las fake news o noticias falsas, las cuales pueden ocasionar caos en la población, porque su impacto no se limita al ciberespacio, se refleja también en el mundo físico.

Hace varios años se presentó en Veracruz el caso de alarmismo social por la propagación de una noticia falsa sobre un camión con cadáveres, donde fueron detenidas tres personas que había retuiteado la noticia sin verificar si era verídica o no. Las acusaciones de terrorismo y sabotaje no prosperaron porque el tipo penal no se actualizaba realmente, ello originó que se introdujera a nivel local el delito de perturbación del orden público, el cual tenía vicios de constitucionalidad, que en su momento refirió la Suprema Corte de Justicia de la Nación.

El anterior ha sido el caso más sonado o documentado en nuestro país, pero las noticias falsas pueden generar un caos tan extremo que ni las obras de George Orwell imaginó.

De ahí que a nivel corporativo también debe tenerse cuidado respecto a temas por sus consecuencias. Dicho nivel de caos puede inclusive catalogarse como ciberterrorismo si este es cometido en el ciberespacio. Ciberterrorismo puede referirse a ataques premeditados y de inspiración política realizados por grupos o agentes clandestinos en contra de información, sistemas computacionales, programas y demás datos informáticos que resulten en actos de violencia hacia objetivos no beligerantes.

Las amenazas de este tipo son cada día más y más constantes a causa de la dependencia en la tecnología. En México, en abril y mayo del año pasado se presentó el caso del SPEI (Sistema de Pagos Electrónicos Interbancarios), donde se hicieron cientos de transferencias de fondos desde cuentas falsas afectando el sistema financiero.

La respuesta del Banco de México (Banxico), desde la óptica jurídica, se dio posteriormente mediante unas circulares con las que se emitieron disposiciones que otorgan a las instituciones de crédito y demás entidades que prestan el servicio de transferencia de fondos, espacio para que estas implementen medidas de control adicionales encaminadas a fortalecer sus sistemas de detección de transferencias irregulares, verificar la integridad de sus operaciones y evitar posibles afectaciones a dichas instituciones, al resto de los participantes y al sistema en su conjunto. Igualmente, se introdujeron validaciones y mejoras en los sistemas.

La intención de ataques de este tipo es lo que puede llevarnos a decir si estamos a actos ligados con el terrorismo o simples ataques; la línea se vuelve muy delgada y difícil de delimitar. Eso es lo que ha hecho que temas como este sean complejos de estudiar y más aún complicados de legislar, pero el que sea “duro” no significa que no deba hacerse.

Comentario final

El mundo físico tiene una “realidad espejo” en el ciberespacio, ese Amazonas salvaje o mundo oscuro es tan atractivo como peligroso. El accionar en esa realidad espejo puede incidir también en el mundo físico. Aquellos que sostienen que este metaespacio debe regularse por sí solo olvidan que la tecnología es como un martillo, es una herramienta que sirve tanto para construir como para destruir.

La regulación debe ser dinámica y estar en constante “renovación” o “adecuación” para que los hechos delictivos no sean una constante en este lugar intangible. La ciberdelincuencia ha tomado ventaja de las bondades que tiene el ciberespacio y ha obtenido ganancias considerables, al grado que inclusive podemos referirnos a la existencia y presencia de una ciberdelincuencia organizada.

En el mundo oscuro hay muchos expertos, los conocidos hackers de sombrero negro (término mal empleado para referirse a los crackers) que operan como mercenarios digitales y ofrecen sus servicios para cometer múltiples ilícitos, pero también ya existen bandas o estructuras criminales más organizadas.

Las empresas al ser entes generadores de riqueza son una víctima atractiva para estos “malhechores digitales”, la ausencia de una regulación, o una adecuada, ha conllevado a que sea imperativo que tomen medidas y se implementen estrategias de ciberseguridad para prevenir los posibles ciberataques. Tristemente, al menos en nuestro país son los menos.


.
 .  (Foto: IDC)