Más Información
/cloudfront-us-east-1.images.arcpublishing.com/eluniversal/ZUMCQ57CWVA4XAG2EMU3TVPYJA.jpg)
/cloudfront-us-east-1.images.arcpublishing.com/eluniversal/XPWJ6QLN2RCMHITXZYLUBV6QAQ.jpg)
/cloudfront-us-east-1.images.arcpublishing.com/eluniversal/TS3APYNRR5G5FAY3ROYFCUC25U.jpg)
/cloudfront-us-east-1.images.arcpublishing.com/eluniversal/4G6OF6UONVDGLA5RBJQL2MXVLI.jpg)
Si bien existen varias definiciones de tipo legal (OCDE, ONU, UE), en términos generales podemos definir al cibercrimen como el cuerpo de ciberdelitos que se cometen por medio de plataformas digitales que requieren del uso de habilidades informáticas cuyo objeto suele residir en vulnerar los mecanismos de seguridad de una cada vez mayor gama de dispositivos electrónicos en los que estas plataformas operan. Esto con el afán se sustraer, capturar, transformar o corromper información de las víctimas.
El incremento en los niveles de la conectividad digital de las sociedades en las últimas décadas ha dado pie a un creciente número de innovaciones tecnológicas (En México hay 62.4 millones de internautas, lo que implica un porcentaje de cobertura cercano a 50% de la población en 2015, INEGI, 2015a). Gran parte de estas innovaciones han desembocado en dispositivos portátiles o “gadgets” que han permitido a sus usuarios obtener una capacidad de almacenamiento y consulta de información de manera instantánea y en forma creciente. El uso de estos “gadgets” ha derivado en fuentes de entretenimiento para algunos (Pokemon Go, Facebook, Twitter Instagram, Tinder, Airbnb) y de productividad para otros (Waze, Uber, Google Maps, Google Drive, Office Lens).
El número de horas que las personas interactúan con sus “gadgets” (tablets, smartphones, laptops, smart-watches, gps, accesorios bluethoot, smart-tvs) ha crecido sin parangón en la última década. De acuerdo al estudio presentado por el consultor Tomi T Ahonen (@tomiahonen) en el MMA Forum Singapore en 2013 los usuarios norteamericanos y británicos consultaban el teléfono al menos 150 veces al día (The Guardian, 2012 y AT&T, 2013; citado en Mahone, 2013) alterando de esta forma la dinámica social en un amplio número de ámbitos (amigos, pareja, trabajo, familia, escuela). Para su óptimo funcionamiento, todas estas aplicaciones y dispositivos requieren y registran una creciente cantidad de información de diversa índole (personal, financiera, geográfica) que en las más de las veces es recolectada sin el pleno conocimiento ni consentimiento de los usuarios.
El incremento en el uso de “gadgets” ha impulsado el crecimiento de múltiples industrias, así como el número de transacciones comerciales y financieras que se realizan en línea a nivel global. Empresas de consumo masivo como Ebay, Amazon, Mercado Libre o Ali Baba se han constituido en emporios transnacionales cuyos volúmenes de venta han crecido de manera sostenida en los últimos años. Por citar un ejemplo, se estima que Ali Baba cuenta con cerca de 307 millones de clientes activos anualmente, 2.8 millones de proveedores y 5,900 distintos tipos de productos. Nada mal para una empresa fundada hace menos de 20 años.
Algunos de los principales delitos informáticos o ciberdelitos más comunes son el robo de identidad o “phishing” definido como la obtención, transferencia, posesión o utilización no autorizada de datos personales con la intención de asumir de manera apócrifa una identidad que posteriormente será utilizada con distintos fines como: trámites legales, bancarios, de seguros, compras, entre otros. Otro de los ciberdelitos frecuentes es el secuestro de información “ransomware” que de acuerdo con la sección de tecnología de la BBC bloquea el acceso a los usuarios de sus dispositivos digitales a menos que realicen el pago por el rescate. Esto le sucedió al departamento de policía de Tewksbury Massachusets al ser su servidor “secuestrado”, la corporación tuvo que pagar el rescate para restaurar el acceso. La difusión y el tráfico de información sensible o clasificada, o ilegal, como lo es la pornografía infantil o la publicación de la lista nominal de electores de México son otra variante de ciberdelitos. De igual manera se encuentra en el catálogo el ciberacoso que puede ser concebido como una extensión del acoso tradicional solo que llevado a cabo a través de medios tecnológicos. Este último ha repercutido de forma importante principalmente entre la población juvenil.
Se han realizado estimaciones sobre la escala de las pérdidas generadas a las víctimas (personas, empresas, gobiernos) de esta modalidad delictiva y estas se aproximan a los 445 mil millones de dólares a nivel mundial por año de acuerdo con estimaciones del Centro Internacional de Estudios Estratégicos (@CSIS). De acuerdo con el especialista en cibercrimen y autor del libro “Future Crimes” Marc Goodwin (@FutureCrimes) los ciberdelitos son cometidos por distintos actores a nivel global, lobos solitarios, gobiernos, grupos del crimen organizado con alcance internacional (Goodwin, 2014).El autor hace énfasis en la falta de preparación de las instituciones públicas y privadas para hacer frente a esta creciente amenaza. En diciembre de 2013 la empresa minorista en norteamericana Target admitió el secuestro de 40 millones de registros crediticios así como de más de 70 millones de registros con datos personales de sus clientes (teléfono, dirección, números de seguridad social). Un par de años después, la agencia nacional de seguridad (NSA) reportó el robo de información (números de seguridad social, puesto, tareas operativas y desempeño) cometido en contra de 4 millones de burócratas federales estadunidenses a través de la penetración a las bases de datos gubernamentales. Se rumoró sobre la posible autoría del gobierno chino.
La penetración al sistema I-Cloud realizado en contra de Apple, una de las principales compañías proveedoras “gadgets” a nivel global, desencadenó el tristemente célebre celebgate que derivó en la divulgación masiva de numerosas fotografías y videos con contenido sexual explícito de corte privado y personal , de más de una treintena de mujeres protagonistas de la industria del cine, la música y el entretenimiento en agosto de 2014, entre las cuales se encontraban: Jennifer Anniston, Kate Upton, Kirsten Dunst, Amber Heard, por mencionar a algunas.
En este sentido, tanto empresas, países, como individuos son susceptibles a ser víctimas de esta modalidad delictiva. Esta parece ser una carrera a contra reloj entre autoridades y criminales que persiguen un botín creciente. Goodwin registra en su libro una de las amenazas con mayor potencial destructivo en los años venideros, se trata del IoT “Internet of Things” o Internet de las cosas, una tendencia tecnológica que implica la interconexión digital de un gigantesco número de objetos (enseres domésticos, accesorios, libros, automóviles, mobiliario urbano, etc) a efectos de lograr una interacción entre sí mismos en una dimensión digital no humanizada. El internet de las cosas ha sido definido por algunos especialistas como “un proceso análogo a lo que implicó la electrificación en el siglo 21”. Goodwin hace un balance entre los aspectos positivos que traerá consigo esta siguiente etapa del desarrollo tecnológico, en términos de eficiencia, conocimiento, prevención, productividad, sin embargo, deja entrever el impacto que generarían delitos informáticos y los riesgos en distintos niveles para el ser humano (incluyendo riesgos físicos).
Por su cuenta, el observatorio de delitos informáticos de Latinoamérica (ODILA) publicó hace unos meses su segundo informe (2016) sobre esta modalidad del delito en América Latina. El informe se realiza mediante la puesta a disposición de usuarios de internet un formato de reporte para que estos registren su experiencia de victimización informática. Posteriormente se realiza una búsqueda de los tipos penales vigentes en la región con el objetivo afán de asesorar al usuario para que realice una denuncia formal y tenga derecho a ser atendido por las autoridades. De acuerdo a los resultados de este proyecto con sede en Argentina se tuvo que la cifra negra osciló alrededor de 80%. La falta de credibilidad en la preparación técnica de las autoridades para resolver estos delitos es uno de los factores que desincentiva la denuncia, la falta de adecuación en el marco legal de los países es otro elemento importante (ODILA, 2016)
En lo que a México respecta, se han desarrollado un par de unidades de policiamiento cibernético, en este tenor se encuentran la Policía de Ciberdelincuencia Preventiva de la Ciudad de México, la división científica y el Centro Nacional de Respuesta a Incidentes Cibernéticos (CERT-MX) de la Policía Federal (PF) cuya labor reside en detectar y prevenir amenazas. Sin embargo, no hay elementos para poder presumir que las autoridades estatales competentes en materia de seguridad, procuración e impartición de justicia cuenten con equipos técnicamente aptos en términos de habilidades y capacidades requeridas para detectar y combatir este tipo de amenazas.
En entrevista con CNN Expansión en 2015, el director general para la Prevención de los Delitos Electrónicos de la Policía Federal, Marcos Arturo Rosales García, señaló la falta de un andamiaje jurídico adecuado para lidiar con esta amenaza de manera efectiva y coordinada, a su vez sugirió la adhesión de México al convenio de Budapest sobre ciberdelincuencia para homologarse con otras prácticas internacionales en el manejo de estos delitos, finalmente enfatizó sobre la necesidad como u de una mayor y más adecuada producción legislativa en la materia.
Resulta necesario mencionar el involucramiento de agencias gubernamentales (Pemex, Cisen, Policía Federal) y gobiernos estatales en la adquisición de equipo y servicios de consultoría contratados a particulares con el afán de sustraer de manera ilegal información de sus ciudadanos, así se demostró con el caso alrededor la firma italiana Hacking Team, proveedora de servicios de espionaje. Por lo menos 16 autoridades estatales se vieron involucradas en este episodio erogando más de 100 millones de pesos en 4 años de operación. Pareciera que las prioridades están invertidas y que el presupuesto utilizado para espiar a ciudadanos es mayor al utilizado para desarrollar un mayor y más profesional número de unidades de policiamiento cibernético.
En su artículo sobre “Los Delitos Informáticos previstos y sancionados en el Ordenamiento Jurídico Mexicano”, Hiram Raúl Peña Libien hace un recuento del estado que guarda la legislación estatal y federal. En este sentido, destaca que solo algunas entidades federativas han legislado al respecto, tales son los casos de la ciudad de México (artículo 336 del nuevo código penal del Distrito Federal), estado de México (artículo 174 del Código Penal del Estado de México), Jalisco (artículo 170 Bis del Código penal de Jalisco), Nuevo León (artículo 242 Bis del código penal de Nuevo León), Quintana Roo (artículo 189 Bis del Código Penal de Quintana Roo), Sinaloa (artículo 217 del código penal de Sinaloa). A nivel nacional, el actual código penal federal consigna los delitos de revelación de secretos, acceso ilícito a equipos y sistemas de informática, así como los delitos contra los derechos de autor.
En lo que a la medición de esta modalidad delictiva respecta, tenemos que el módulo de victimización de la Encuesta Nacional de Victimización y Percepción sobre Seguridad Pública (ENVIPE) únicamente considera los fraudes realizados por internet o correo electrónico en tanto que el cuestionario de la Encuesta Nacional de Victimización de Empresas (ENVE) en su edición 2014 si preguntó de manera explícita sobre ataques a redes, servidores o sistemas informáticos para sustraer información.
Por su cuenta, la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF) conserva un registro respecto del número de reclamaciones realizadas por usuarios en el cual destaca el crecimiento de los delitos informáticos como el robo de identidad, siendo los usuarios de tarjeta de crédito los principales afectados. En términos geográficos, la Ciudad de México, el estado de México y Nuevo León concentraron 34.6% de los reclamos por posible robo de identidad, en el último lugar se colocaron los estados de Tlaxcala y Baja California Sur que dieron cuenta por 1% de las reclamaciones. En lo que a volumen se refiere, se tuvo un incremento de 4,564 reclamaciones en el año 2011 a más de 50,000 en 2015. Esta agencia pone a disposición del público internauta un manual de prevención para evitar ser víctimas de este delito. Cabe destacar que el Secretariado Ejecutivo del Sistema Nacional de Seguridad Pública (SESNSP) no incluye en sus reportes sobre incidencia delictiva estadísticas relativas a ciberdelitos.
Hace apenas algunos meses se presentó el módulo sobre ciberacoso (MOCIBA) en el marco de la Encuesta Nacional sobre Disponibilidad y uso de las TIC en Hogares (ENDUTIH) en cuyo cuestionario se incluyen preguntas referentes a este delito. El modulo fue utilizado para población mayor a 12 años y se les preguntó a los entrevistados sobre su conocimiento y experimentación de esta modalidad del acoso. De acuerdo al informe ejecutivo 24.5% de los entrevistados ha experimentado ciberacoso, los grupos etarios con mayores niveles de victimización son los comprendidos entre los 12 y 29 años en tanto que los niveles entre sexos presentan poca variación (52% vs 48%). A su vez, este delito persigue con mayor ahínco a las personas con mayor nivel de escolaridad lo que se explica en función de la mayor cobertura de la cual goza esta población.
En lo que a distribución geográfica del ciberacoso se refiere, Aguascalientes y el estado de México fueron las únicas dos entidades en donde la prevalencia sobrepasó 30% en tanto que Chihuahua y Jalisco fueron las entidades con los menores niveles de victimización por debajo de 18% (INEGI, 2015)
Hay mucha especulación sobre el número de víctimas y de ciberdelitos cometidos en México, sobresalen algunas declaraciones respecto , como la realizada por el ex presidente de la mesa directiva del senado y presidente de la comisión de justicia Roberto Gil Zuarth, en la cual afirmó se cometen 12 ciberdelitos en México cada segundo (no menciona la fuente) . A su vez la firma de ciberseguridad Symantec reportó 10 millones de víctimas en 2013, equivalentes a 19 por minuto en su informe “Reporte Norton 2013” y un costo equivalente a 39,000 millones de pesos.
De acuerdo al boletín de prensa No.32 2015-02-25 emitido por la Comisión Nacional de Seguridad, (CNS) se supone existe una estrategia de ciberseguridad (no me fue posible encontrar ningún documento de carácter oficial que explicite los componentes que conforman la estrategia). El comunicado indica que la estrategia cuenta con tres ejes fundamentales, a saber
- Prevención de los delitos cibernéticos mediante la difusión de información y orientación a la ciudadanía.
- Detección oportuna de amenazas y ataques cibernéticos, a fin de reducir, neutralizar o mitigar las afectaciones de la población.
- Fortalecer las capacidades técnico-científicas pata la investigación y persecución de los delitos cibernético
De conformidad con la numeralia de la Policía Federal (PF), entre diciembre de 2012 y enero de 2015 se atendieron 59,236 incidentes relacionados con ataques cibernéticos, entre los cuales sobresalieron el robo de identidad, los fraudes cibernéticos y el ataque a sitios web. La institución afirma haber cumplimentado 47 órdenes de cateo y detenido únicamente 36 presuntos responsables. Así mismo, la PF afirma haber desactivado 5,549 sitios web que usurpaban la identidad de instancias financieras y gubernamentales con el propósito de realizar fraude, según la representación en México de la empresa Network Information Center (NIC), existen al menos 809,941 dominios registrados bajo la extensión .mx . Cabe resaltar el reducido número de probables perpetradores que han sido detenidos al promediar 12 por año.
En octubre de 2015 la propia CNS en conjunto con la Organización de Estados Americanos (OEA) organizó la semana nacional sobre ciberseguridad con el objetivo de firmar un acuerdo de colaboración entre las 32 entidades federativas para compartir experiencias en la materia y combatir de manera coordinada los ciberdelitos. A la fecha no se ha emitido la convocatoria ni difundido en medios de comunicación información referente a una segunda edición de este evento para octubre de 2016, mes que ha sido establecido por la OEA como el mes de la ciberseguridad.
Como se ha constatado, los ciberdelitos son una amenaza latente para México y para el resto del mundo con grandes posibilidades y oportunidades de crecimiento que seguramente continuará afectando a empresas, gobiernos e individuos en números crecientes. No queda del todo claro que nuestras autoridades ni nuestros legisladores estén conscientes del potencial dañino que tienen los ciberdelitos. Resulta pertinente actualizar el marco normativo vigente evitando episodios vergonzosos como los acontecidos en Veracruz (que afortunadamente fue anulado por la Suprema Corte de Justicia de la Nación) o el sucedido en el marco de la semana nacional de ciberseguridad en 2015 con la fallida “Ley Fayad” . Ambos eventos evidencian el desconocimiento de nuestras autoridades y exhiben sus anhelos por controlar el internet y la libertad de expresión.
Existen legislaciones sobre la materia en Latinoamérica que podrían servir como guía para el debate en la confección de una legislación nacional para México. A su vez distintos colectivos y consultoras internacionales han incursionado en el tema haciendo propuestas para lograr mejores legislaciones, tal es el caso de GenderIT e ISACA. Este debate debe considerar lo acontecido con el episodio sobre “Hacking Team” y delimitar de manera puntual bajo qué circunstancias y en que contextos las autoridades pueden infiltrarse a equipos y dispositivos electrónicos de ciudadanos.
La construcción de capacidades institucionales es otro tema pendiente, se requieren de cada vez mayores habilidades informáticas para poder prevenir, detectar y perseguir los delitos informáticos. Esta situación precisa de un esquema de incentivos lo suficientemente atractivos como para atraer a los organismos de seguridad pública a las personas con el talento y las capacidades indicadas. Algunas agencias de seguridad norteamericana han institucionalizado sus labores de reclutamiento al interior de ferias y convenciones que aglutinan a expertos en materia de pirateo informático.
Finalmente, resulta indispensable perfeccionar las herramientas de medición y las políticas de divulgación, sería deseable que la ENVIPE comenzará a registrar de manera puntual distintos ciberdelitos en su catálogo como se sucede en el caso de la ENVE. De igual manera el SESNSP bien podría implementar un módulo referente a este tipo de delitos en sus reportes de incidencia delictiva que considerará los registros de las entidades que tienen contemplado estos delitos en sus respectivos códigos penales.
El cibercrimen llegó a nuestras vidas y a nuestra cotidianeidad para quedarse, en un entorno como el actual que tienden de manera cada vez más veloz a la interconectividad digital es que aumentan tanto los riesgos como el potencial dañino de esta modalidad delincuencial, resulta necesario actuar y hacerlo ya.
Bibliografía
Goodwin, M. (2014). Futures Crimes. New York: Doubleday.
INEGI. (2015a). Encuesta Nacional sobre Disponibilidad y uso de Tecnologías de la información (ENDUTIH). Aguascalientes: INEGI
INEGI. (2015b). Modulo de Ciber Acoso (MOCIBA). Aguascalientes: INEGI.
ODILA. (2016). 2do. Informe 2016. Cordoba: Observatorio de delitos informáticos de Latinoámerica. Recuperado el 10 de Septiembre de 2016, de https://www.odila.org/pdf/Informe_ODILA_2016.pdf
Yani Limberopulos
Investigador – ONC
@OrangeAgent @ObsNalCiudadano
