La transformación digital de las empresas, las dificultades de persecución por extraterritorialidad, así como la sensación de impunidad y el bajo coste para los delincuentes, auguran un brillante futuro al ciberdelito.
Los delitos se desplazarán a la Red
Williams Francis Sutton fue un famoso ladrón de bancos americano que vivió durante el siglo pasado. Pasó más de la mitad de su vida en varias prisiones federales, de las que escapaba disfrazándose, por lo que la policía le puso el sobrenombre de «Willy el actor». Robó más de 2 millones de dólares en atracos a mano armada.
Probablemente lo que hizo famoso a Sutton fue una frase, pronunciada al parecer durante una entrevista que le hizo el periodista Mitch Ohnstad.
Cuando éste le preguntó que por qué robaba bancos, Sutton respondió sin pestañear:
Porque es allí donde está el dinero».
Más tarde, esta respuesta llevó a los profesores de medicina norteamericanos a enunciar la denominada «Ley de Sutton» para explicar a sus alumnos que ante la duda en la decisión sobre el mejor diagnóstico para la enfermedad de un paciente, eligieran siempre el más probable, sin necesidad de perder el tiempo rebuscando en enfermedades raras.
Sutton murió en Florida, en 1980. Pero, ¿ y si viviera hoy, dónde iría a robar?, ¿dónde está el dinero hoy?
Solo el 9% del dinero en existencia en la eurozona circula en forma de monedas o billetes, porcentaje comparable al también moderado 7% de Estados Unidos.
El resto es dinero electrónico: la representación etérea en la memoria de un ordenador de nuestros ahorros o nuestras deudas junto con la promesa de su conversión en dinero físico y viceversa, a voluntad. Solemos confundir conceptos de dinero virtual, dinero electrónico y criptomonedas.
Existe la opinión, cada vez más extendida, de que en el futuro los bancos serán empresas de tecnología, y los ladrones serán igualmente tecnólogos.
Un síntoma de esta metamorfosis es que desde principios de este siglo los departamentos de ciberseguridad de los bancos han adquirido una relevancia inusitada, sin duda superior a la de los departamentos de seguridad tradicional, a la hora de proteger el pasivo de los clientes.
Crecimiento del ciberdelito en España
No solo los delitos contra la propiedad, sino en general todos los ciberdelitos denunciados crecen exponencialmente, según el Informe sobre la cibercriminalidad en España del año 2015 publicado por el Ministerio del Interior.
Sin embargo, prácticamente hoy día todos los delitos tipificados en el Código Penal tienen algún «modus operandi» en los que pueden estar involucradas las Tecnologías de la Información y las Comunicaciones (TIC), bien sea contra la vida, la salud, la integridad moral, el patrimonio, las relaciones familiares, falsedad, honor, administración pública, etc.
Cuando aún no existía internet, Enrique Ruiz Vadillo, que fue magistrado del Tribunal Supremo y posteriormente del Tribunal Constitucional, hacía una primera clasificación distinguiendo dos clases de delitos: aquellos «cometidos mediante» el uso de ordenadores y aquellos delitos «cometidos contra» activos informáticos.
Pero faltaba una tercera posibilidad. Según el derecho penal tradicional, el delincuente es una «persona capaz», es decir, un ser humano con capacidad de obrar por sí mismo.
Pues bien, está de actualidad un interesante debate acerca de la posibilidad de atribuir algún tipo de personalidad jurídica a los robots. ¿Podría un robot en un futuro considerarse como presunto delincuente?.
Estaríamos así ante una tercera categoría, la de los delitos «cometidos por» entidades basadas en las TIC.
Haz clic aquí para ver la Masterclass completa
Profesionales de ciberseguridad, ciberpolicías y ciberjueces
Si los delitos cometidos en la red o a través de la red crecen exponencialmente, no ocurre lo mismo con el número de ciberdefensores y ciberpolicías.
Según el estudio anual sobre el mercado laboral mundial de ciberseguridad, esponsorizado por la asociación profesional (ISC)2, la escasez de estos profesionales llegará a 1.8 millones en 2022.
La brecha entre demanda y oferta no para de crecer año tras año. La dificultad de madurar estos perfiles, y el tiempo necesario para su capacitación, hará que su retribución se incremente y que exista una sana competencia entre las empresas para proporcionarles una satisfacción laboral y trayectoria profesional que les retenga.
Teniendo en cuenta este escenario, IMF Business School y Deloitte han desarrollado el Máster en Ciberseguridad, que cuenta con la ayuda de formadores profesionales especializados en cada temática (Hacking Ético, Análisis Forense, Ingeniería inversa, etc.).
Este efecto tendrá también repercusiones en los profesionales de las Fuerzas y Cuerpos de Seguridad del Estado, que serán atraídos por el sector privado, como ya ocurrió hace años con sus compañeros dedicados a perseguir delitos en el mundo físico tradicional.
Por otro lado, en la primera encuesta dirigida a conocer la preparación de jueces y magistrados en el uso de medios tecnológicos, se incluyeron una serie de preguntas destinadas a conocer el uso que hacían de ellos, y las carencias que percibían en ese ámbito.
Un 5% de usuarios fueron catalogados como usuarios expertos, un 35% con conocimientos de nivel medio y un 60% con conocimientos mejorables.
Entre otras cuestiones, se planteaba a los jueces la pregunta de si consideraban precisa una mayor formación en materia informática. El 90% consideraba que debía reforzarse la formación en materia informática y uso de nuevas tecnologías, frente a un 6% que opinaba que no era necesaria más capacitación.
Puede que este sea también uno de los motivos que subyacen al conflicto surgido como consecuencia de la reciente implantación del Expediente Judicial Electrónico (EJE).
La colaboración internacional es una via lenta y penosa
No ya el desconocimiento, cuando no la desafección, de jueces y magistrados sobre las TIC puede resultar un freno en la persecución de los delitos.
Resulta mucho más preocupante la inoperancia del auxilio judicial internacional penal. Ante la falta de agilidad en los procesos de tramitación de comisiones rogatorias, en muchos casos los tribunales españoles se saltan esta burocracia para conseguir los registros de actividad de presuntos delincuentes, acudiendo directamente a los prestadores de servicios, normalmente basados en territorio norteamericano.
Algunas plataformas como las de Microsoft, gestionan las peticiones de los juzgados a través del departamento legal de sus oficinas en Madrid.
Facebook también tiene un departamento destinado a atender las peticiones de los juzgados, a los que facilita vía mail o por servicio postal información de registro y las IP desde las que se ha accedido a una cuenta siempre que haya sido en los últimos 90 días y reservándose el derecho de cobrar para cubrir los costes de esta consulta.
Resulta paradójico que cuando lo que se necesita es rapidez en las investigaciones haya prestadores de servicios que no guarden los datos el tiempo medio que necesita para tramitarse una comisión rogatoria.
Otras empresas como Twitter y Google dicen proteger a sus usuarios cumpliendo escrupulosamente las garantías judiciales sobre peticiones de información por parte de gobiernos.
Cuando lo que se quiere es conocer es el contenido, solo puede pedirse mediante un auto judicial y comisión rogatoria.
En estos casos, en raras ocasiones los prestadores dan respuesta si no es en relación a delitos muy graves, como homicidio o atentado terrorista. Peor aún para una intercepción de comunicaciones en tiempo real, posible sólo si en dicha investigación interviene el FBI.
La respuesta en defensa propia
Ante la proliferación de ciberdelitos, la carencia de medios públicos para protegernos, y la lentitud de la justicia, algunas empresas se han planteado la posibilidad de crear unidades secretas de respuesta para repeler ciertos ataques, como el phishing.
La defensa propia es el contraataque o repulsa de una agresión inminente e inmediata con el fin de proteger bienes jurídicos propios o ajenos.
Está justificada en aquellas situaciones en las que los bienes jurídicos a proteger no pueden ser salvados por el Estado, de manera que la única forma de evitar que sean dañados es permitiendo que quien esté posibilitado para tal tarea, cuente con el respaldo jurídico del Derecho.
Hace unos meses, el congresista republicano Tom Graves, integrante de la Cámara de Representantes por el estado de Georgia, propuso la Active Cyber Defense Certainty Act (ACDC) que permitiría a los estadounidenses contar con más poderes para poder «contraatacar» en defensa propia en determinados casos de agresiones cibernéticas.
De acuerdo con esta propuesta, las acciones que podrían tomarse apuntan a poder identificar al hacker que está provocando el ataque y también poder interrumpir su actividad.
En caso de que la legislación sea aprobada, las víctimas podrán «acceder sin autorización al computador del atacante, para obtener información que establezca atribución de la actividad criminal para compartirla con fuerzas del orden, para interrumpir la actividad no autorizada en contra de la propia red de la víctima».
El proyecto no permite que las personas puedan causar daños o alterar información en el computador del hacker que está efectuando el ataque, ni tampoco hacer nada que pudiese alterar el orden y seguridad pública.
Manuel Carpio, tutor del Máster de Ciberseguridad de IMF Business School.
Formación Relacionada
