Se ha tornado una situación común los ataques a los sistemas de mensajería instantánea. Una de las repercusiones que trajo la aparición de la Covid-19 fue que se intensificó la dependencia en el uso de la tecnología.
Las bondades que brindan las plataformas y aplicaciones para facilitar la interacción y especialmente la comunicación les otorgan a estas herramientas un atractivo singular, tanto para acciones positivas como negativas.
Existen aplicaciones que han adquirido un rol prioritario en la última década, como es WhatsApp, la cual permite no solo el intercambio de mensajes y contenido multimedia, sino también la posibilidad de realizar llamadas, entre otras muchas funciones. Su posicionamiento se ha verificado al grado que las instituciones bancarias suelen emplearlo para notificar a sus clientes o usuarios sobre movimientos o transacciones efectuadas. Múltiples empresas y particulares lo utilizan para promocionar sus productos y servicios. Es una aplicación que se usa también como canal de comunicación interna en diferentes giros corporativos.
No obstante, pese a sus bondades y beneficios en tiempos recientes se ha tornado un riesgo para los derechos de las personas, especialmente los digitales. Ello porque es una aplicación que se ha destinado para la comisión de delitos y la afectación de prerrogativas básicas como la identidad, en este caso la identidad digital, junto con otros bienes jurídicos.
Por ello es que a continuación el maestro Jesús Edmundo Coronado Contreras, coordinador editorial de las áreas de Fiscal, Jurídico Corporativo y Comercio Exterior de IDC Asesor Fiscal, Jurídico y Laboral; coordinador de la comisión de Derecho Penal Internacional del Ilustre y Nacional Colegio de Abogados de México A.C.; socio de Derecho Penal Internacional de la firma JMJ Partners & Lawyers y director de publicaciones de Bosch México y miembro del consejo editorial de su revista Praxis Legal explica los riesgos que conlleva este tipo de aplicaciones para las personas en la actualidad y detalla algunas posibles acciones para proteger derechos básicos.
Panorama general
En anteriores ocasiones ya se ha referenciado lo qué es el ciberespacio, el cual podemos definir como un amazonas salvaje o un mundo oscuro, ya que es un lugar intangible en donde confluyen una inmensidad de actores y que implica el eterno dilema sobre si este debe permanecer justamente como un espacio sin ley, es decir, un sitio en donde debe prevalecer la autorregulación, consistiendo en que se armonice la convivencia entre los diferentes actores que interactúan ahí, o si es necesario algún tipo de control, consistente en una regulación, como sucede en el mundo físico, donde las legislaciones imponen medidas para una adecuada convivencia.
La respuesta a dicho dilema no ha sido sencilla, toda vez que los intentos de implementar alguna clase de legislación en la mayoría de los escenarios han arrojado resultados rampantes, al ser muchas veces superados por los constantes avances tecnológicos y la autorregulación también ha tenido puntos cuestionables cuando se ha recurrido a ella. Especialmente en el ámbito corporativo porque el control que se puede imponer a empresas tecnológicas en la actualidad resulta complejo, pues su naturaleza ya termina siendo más global que local. La tecnología ha simplificado diferentes aspectos de la vida cotidiana. Ahora es posible mediante el uso de diferentes aplicaciones contenidas en un dispositivo efectuar múltiples tareas al mismo tiempo. Desde requerir un servicio de transporte o de alojamiento hasta pagar por la prestación de servicios.
La presencia de Covid-19 potencializó la dependencia en la tecnología, porque el encierro obligó a que las personas y corporaciones recurrieran a esta para seguir llevando a cabo las tareas que de bían efectuar.
Aplicaciones de mensajería ya tenían un rol protagónico antes de la pandemia. Sin embargo, algunas adquirieron un papel todavía más importante porque facilitaban la consecución de varias actividades, como es intercambiar mensajes (escritos o en audio) compartir diferente contenido, organizar colectivos o realizar llamadas. Todo ello desde la comodidad de un dispositivo móvil o celular.
Aquella persona que no cuenta con un dispostivo móvil vive exiliado del mundo digital el cual es cada vez más grande, indispensable, y genera dependencia e interés por descubrir sus múltiples aristas, pero a la vez también resulta abrumador y riesgoso. Para poder interactuar en este espacio es vital tener una identidad y esta puede ser igual o diversa a la que se tiene en el mundo físico.
¿Qué es identidad?
La identidad tradicionalmente está conformada por el nombre y apellidos, la fecha de nacimiento, el domicilio, sexo, y en algunos casos se incorpora lo referente al grado de estudios.
En algunos países se tiene un documento nacional de identidad, muchos de ellos lo denominan Documento Nacional de Identidad (DNI), que suele considerarse como el medio de acreditar la identidad por excelencia.
No obstante, hay casos en los que no se tiene dicho documento como es México, en donde se recurre a la Clave Única de Registro de Población (CURP), la credencial de elector o el RFC como principales medios para identificarse, situación similar con el pasaporte o la cartilla del servicio militar o inclusive la cédula profesional.
En el mundo digital, si bien podrían retomarse los mismos elementos para conformar la identidad digital, esta podría ser incluso más amplia porque dependerá mucho del tipo de acciones que se efectúan en este amazonas salvaje o mundo oscuro.
Con la pandemia se intensificó el comercio electrónico, ya que cada vez es más frecuente que se lleven a cabo compras de cualquier tipo en portales o sitios o a través de aplicaciones especiales se realicen transferencias bancarias, lo cual significa una simplificación en la vida cotidiana, pero también implica un desafío importante en cuanto a la seguridad de la identidad y protección de la privacidad de los datos que se manejan.
Entre las principales problemáticas también se localiza la de demostrar la identidad, puesto que muchas veces se desconoce quién es el individuo que efectúa determinada acción en el ciberespacio. Algunos gobiernos han buscado implementar plataformas electrónicas para que sus ciudadanos puedan llevar a cabo ciertas acciones, desde el pago de impuestos hasta trámites burocráticos. Ejemplo de países que han invertido en esas cuestiones son Estonia y Corea y han obtenido resultados interesantes.
Sin embargo, pese a que se ha solicitado que se usen los elementos de la identidad tradicional, no siempre es factible constatar que se trata del mismo individuo en el ciberespacio.
Ante ello, es que se manejan términos como identificación o autentificación con una frecuencia mayor. Para acceder a ciertos servicios en línea o múltiples plataformas se solicita un nombre de usuario, el cual va vinculado en su mayoría con una cuenta de correo electrónico para identificar a la persona y adicionalmente se requiere de una contraseña para autentificar que se trata realmente de ese individuo.
Debido a la constante presencia de ciberdelincuentes, es que en la actualidad los sistemas de autentificación se han vuelto más sofisticados, partiendo de una doble verificación se han llegado a implementar no solo el uso de contraseñas sino también de códigos especiales o el reconocimiento por medio de huella dactilar o facial, que es empleado sobre todo para verificar los sistemas de pago y en algunos más se ha introducido el empleo del iris. No obstante, en muchas ocasiones estos procesos terminan siendo ineficaces.
¿Robo, suplantación o usurpación?
La ciberdelincuencia es una de las mayores amenazas en nuestros tiempos. El ciberespacio, por desgracia, no puede permanecer ajeno al accionar delictivo. En la actualidad puede sostenerse que hay una nueva tipología del delito, porque existen cinco tipos de delitos:
locales (como el robo, fraude o secuestro)
internacionales (crimen de agresión, crímenes de guerra, genocidio o delitos contra la humanidad que son competencia de la Corte Penal Internacional por ser las mayores ofensas que se pueden cometer a nivel mundial)
globales (terrorismo, piratería que son perseguidas y sancionadas localmente, pero representan una amenaza a la seguridad global)
transnacionales (tráfico de estupefacientes, armas, trata de personas, lavado de dinero que suelen entrar en el marco de acción de la delincuencia organizada transnacional y ya sea por sus actores, efectos o planeación y ejecución tienen elementos de transnacionalidad), y
ubicuos (delitos que se cometen en el ciberespacio y que pueden o no tener un efecto en el mundo físico) Dentro de este último tipo encajarían los denominados ciberdelitos, ya que el ciberespacio al ser un lugar intangible, es decir, no hay un espacio físico donde pueda sostenerse que se comete el delito; por ello que puede otorgársele la categoría de ubicuo y por lo tanto sería susceptible de ser perseguido y sancionado.
En entregas anteriores se ha delimitado la tipología de los ciberdelitos, pues existen ciberdelitos contra:
información y privacidad
patrimonio
propiedad intelectual
seguridad, e
identidad
Este último es uno de los bienes jurídicos más susceptibles de ser afectados por actos ilícitos en la actualidad. Por ello, es vital describir detalladamente en que consiste el robo, la suplantación y la usurpación y como estos inciden en la identidad.
En ocasiones pueden resultar como sinónimos, pero se debe desmenuzar sus particularidades, porque como se trata de una acción delictiva que debe o debería ser lo más clara posible. En primer lugar, son tres hechos distintos y pudieran ser jus tamente, tres delitos diferentes.
De acuerdo con la Organización para el Desarrollo y la Cooperación Económica (OCDE), quien ha conjuntado diferentes definiciones, el robo de identidad se verifica cuando alguien adquiere, transfiere, posee o utiliza información de una persona física o jurídica de forma no autorizada con la intención de cometer fraude u otros delitos. El robo de identidad no solo implica un daño económico; las víctimas pueden ver dañada su reputación e imagen, siendo la recuperación del “buen nombre” una tarea compleja que lleva tiempo y un significativo desembolso económico.
Estrictamente el robo sería el punto de partida o de este pudiera depender que se puedan efectuar los otros dos actos, tanto la suplantación como la usurpación; eso porque implica la sustracción de información y datos del individuo; se trataría entonces de un primer hecho delictivo.
Ello, ya que puede existir el robo (sustracción) de información o de datos sin necesariamente emplearlos para suplantar o usurpar a una persona, pues puede ser que quien cometió ese acto los venda o los utilice para extorsionar (ransomware) al afectado.
La suplantación consiste en sustituir al individuo, es decir, reemplazar a la persona mediante el uso indebido de la identidad, haciéndose pasar por ella en lo particular, más allá de cómo obtuvo los elementos para consumar ese o esos actos. Situación que se actualiza constantemente en estos días con los ataques a WhatsApp, en donde los atacantes “suplantan” la identidad de la persona atacada ante sus contactos.
Finalmente, la usurpación a diferencia de la anterior conlleva el ostentar el cargo o funciones del afectado, en otras palabras, no solo implica el sus tituir al individuo, sino que también ejercer o eje cutar las atribuciones que tiene en virtud de un encargo en particular.
De esto, puede concluirse que se trata de tres circunstancias distintas; si bien pueden ser concatenadas, no necesariamente se llevan a cabo por un mismo agente en todos los casos.
A causa de esto, es que en la práctica ha sido complicado regular estos hechos delictivos, porque los legisladores (no únicamente en nuestro país) han intentado englobar estos tres actos en un tipo penal, porque manejan el robo, la suplantación y usurpación como equivalentes y como se explicó pueden y existen diferencias sustanciales entre los conceptos. Inclusive en el nivel internacional ha sido difícil delimitar este hecho delictivo.
Fenómeno delictivo actual
En México recientemente se ha estado gestando un fenómeno delictivo peculiar en el que se ve afectada la identidad de las personas, pero igualmente su privacidad. Ello debido a las aplicaciones de mensajería instantánea como WhatsApp.
Muchas personas hemos sufrido el ataque a nuestras cuentas, las cuales han sido infiltradas por delincuentes quienes afectan la identidad y la imagen de sus víctimas.
Se recibe una llamada telefónica alegando ser de una empresa de ventas en línea y que se desea programar la entrega de un producto por medio de la aplicación de WhatsApp. La llamada es cortada y se recibe otra de parte, supuestamente, del área de soporte de WhatsApp, en la que la operadora afirma que se comunican para atender un posible ataque a la cuenta. Se pide que se acceda al correo porque se recibió un código o enlace. Al dar clic este enlace lo que permite es deshabilitar la protección de doble verificación en la aplicación y acceso al correo electrónico de recuperación. Mientras el usuario recibe mensajes de texto de la aplicación original con el código de verificación SMS por los continuos intentos de ingresar, pero al recibir v arios la aplicación en el dispositivo original falla, lo que produce que no se acceda más, pese a que se sigue teniendo acceso a la línea original.
Al tener acceso los ciberdelincuentes cierran las sesiones en otros dispositivos y comienzan a enviar mensajes a los contactos solicitando diferentes cantidades de dinero, por motivos diversos.
Pese a que la víctima es consciente de la situación, su margen de respuesta es nulo debido a las políticas de la empresa detrás de esta aplicación. Puesto que el único mecanismo de bloqueo de la cuenta es por medio de otro mensaje de texto al móvil con el número original, pero como ya se han generado varios, debe transcurrir un periodo aproximado de 12 horas para generar otro.
En tanto durante ese lapso los ciberdelincuentes tienen acceso indiscriminado a la cuenta. Ello facilita el actuar delictivo y genera que se verifiquen adicionalmente otros, porque las personas son engañadas por estos ciberdelincuentes y depositan dinero en cuentas bancarias destinadas a recursos ilícitos.
Transcurrido el periodo la víctima debe instalar nuevamente la aplicación en su celular y al ingresar el código de verificación SMS solicitará adicionalmente el PIN y se enviará un correo electrónico a la cuenta de recuperación. Estos últimos suelen ser modificados por los ciberdelincuentes, pero al ingresar un PIN erróneo la víctima lo que genera es que la cuenta entre en una especie de bloqueo, porque se cierran todas las sesiones y la cuenta no puede ser recuperada sino hasta siete días después, solamente vía otro código de verificación SMS sin necesidad de utilizar un PIN o correo de respaldo. Con ello se detiene el accionar delictivo, pero tampoco se soluciona porque la víctima sigue sin tener acceso a su cuenta.
Esta situación se verifica cotidianamente y pocas son las acciones que se están realizando para tratar de solventar estos escenarios. Por una parte, es un mínimo de las victimas que decide denunciar ante las autoridades estos hechos delictivos. Ello debido al desconocimiento de que existen mecanismos para hacerlo, y que se adiciona a la fama de escasa eficacia de las autoridades en atender adecuadamente estos delitos.
A todo eso se debe sumar también el nulo interés por parte de las empresas por atender la situación de sus usuarios. Esperar 12 horas para bloquear una cuenta que está siendo utilizada para la comisión de delitos y que pese a ser alertados por las víctimas, es una omisión grave al deber de cuidado mínimo e incluso a sus propias políticas de protección a sus usuarios.
Lo anterior, permite que este esquema sea atractivo para los ciberdelincuentes. La escasez de consecuencias por estos hechos los alienta a continuar con este modo de operación ilegal. El cual en gran medida es propiciado por las mismas plataformas y las empresas detrás de ellas.
¿Solución?
Las posibles soluciones ante estos escenarios delictivos deben provenir de todos los involucrados, especialmente las empresas, ya que no puede atribuirse todo a las víctimas y perpetradores. Si bien estos últimos son quienes cometen el hecho delictivo, existe también el deber de no propiciar los elementos facilitadores del delito.
Por un lado las empresas de paquetería y de ventas en línea tienen un mal manejo de información y datos personales en los que su propio personal podría estar utilizando los medios que les brinda la corporación para la comisión de delitos. Existe ahí una ausencia del debido control.
Del otro lado la empresa que controla la aplicación de mensajería instantánea, pese a que puede alegar que brinda mecanismos de seguridad a sus usuarios como la doble verificación y que son las víctimas quienes permiten el acceso a los delincuentes. Su manejo de crisis y tiempo de atención a este tipo de situaciones es ineficaz y facilita que el número de victimas se incremente. Ello, porque la primera víctima es la persona cuya identidad es robada y suplantada y las demás víctimas son quienes al ser engañados transfieren cantidades de dinero a las cuentas de los perpetradores.
Resulta innegable que desde el plano legislativo también deben introducirse tipos especiales más ad hoc con estos nuevos fenómenos delictivos, y se requiere una mayor capacitación de las autoridades y dotarles de mejores herramientas para hacer frente a estas situaciones. Igualmente es indispensable que las empresas tomen conciencia de la situación y atiendan de mejor forma y busquen tener controles más sencillos y especialmente eficaces para afrontar el accionar delictivo. Las víctimas también deben estar más alertas sobre las nuevas amenazas que surgen y no depender tanto del uso de aplicaciones que no tienen mecanismos eficientes de protección.
Comentarios finales
A nivel estatal algunos estados de la república han pretendido regular principalmente la suplantación o usurpación de identidad, como es el caso de Baja California, Baja California Sur, Colima, Chihuahua, Ciudad de México, Durango, Guanajuato, Jalisco, Estado de México, Nuevo León, Oaxaca, Quintana Roo, Sonora, Sinaloa, Tamaulipas, Tlaxcala y Zacatecas, pero esos esfuerzos siguen siendo insuficientes si no se combinan con una adecuada atención por parte del sector privado.
Las omisiones corporativas descritas pueden y deberían desencadenar en demandas en su contra por parte de los propios usuarios, porque estas se traducen en menoscabo en las prerrogativas fundamentales. La falta de interés en la protección de los derechos de los usuarios por parte de las empresas debe corregirse. Situación similar se verificó hace muchos años con instituciones bancarias, que posteriormente a múltiples demandas decidieron rectificar sus políticas y mecanismos. Un contexto similar parece que se podría y debería gestar en el nicho tecnológico.
Quienes son víctimas de este fenómeno delictivo deben interponer no solamente las denuncias correspondientes en contra de los ciberdelincuentes, también demandas en contra de las empresas por sus omisiones y el daño moral que se puede producir derivado de estos hechos.
La privacidad, pero principalmente la identidad de las personas entra en un constante peligro en la actualidad y deben implementarse todos los medios suficientes para resguardarla. Adicionalmente los usuarios debemos ser conscientes de las amenazas y no depender de una sola aplicación como medio de comunicación con nuestros contactos, especialmente si ella no brinda la atención y protección adecuada. Hay que contar con otras aplicaciones y canales de contacto, incluso más tradicionales para prevenir y evitar que nuestra identidad, la imagen y demás prerrogativas sean comprometidas y afectadas.
Hace falta mucho camino por recorrer en el ámbito tecnológico y muestra de ello son este tipo de problemáticas que enfrenta la identidad, especialmente la identidad digital.
