El Convenio Legal de la Ciberdelincuencia – Caso de Ciberdelito y Extradición

Es evidente que la tecnología es una parte fundamental en nuestras vidas. En la actualidad, no podemos concebir una organización que no cuente con acceso a internet, correo electrónico, una página web, bases de datos de clientes, entre otras herramientas digitales, y que todo esto se encuentre almacenado en un medio digital o en teléfonos inteligentes corporativos donde se agendan reuniones, se cruzan comunicaciones o se hace uso de alguna aplicación o herramienta para hacer más fácil el trabajo del día a día. Estas herramientas se utilizan de manera ordinaria sin prestar importancia los riesgos a los que se expone una organización en términos de confidencialidad, disponibilidad e integridad de la información.

Carlos García

Director de Ciberseguridad
carlos.garcia@obosss.com
José Sun

Director de Riesgos y Compliance
jose.sun@obosss.com

El cibercrimen es una realidad que está poniendo en riesgo a las organizaciones en ámbitos como seguridad de la información, impactos financieros, impactos legales e incluso reputacionales, es por ello, que varias naciones han impulsado convenios internacionales, con el objetivo de generar políticas penales comunes y proteger a la sociedad frente a los delitos informáticos y los delitos por internet.

Un delito informático puede definirse como un acto ilícito realizado a través de un medio o dispositivo tecnológico y que expone la confidencialidad, integridad y disponibilidad de la información y se mide por el impacto que provoca.

Analice su organización y piense qué sucedería si fuera víctima de un robo de información y que, el ciberdelincuente que perpetró el hecho se encuentra fuera de sus fronteras ¿su organización está preparada para un evento así? ¿nuestros países están preparados para investigar y perseguir internacionalmente en materia penal y judicial a este tipo de cibercriminales? ¿existen leyes aplicables a este tipo de delitos?

El Convenio sobre la Ciberdelincuencia, conocido como el Convenio de Budapest 1 , es un tratado internacional vinculante en materia penal, que busca el establecimiento de herramientas legales para la tipificación de delitos informáticos de forma común en los países parte, para que éstos puedan ser perseguidos a través de la cooperación internacional. Dicho convenio posee dos grandes áreas de acción:

  1. La primera es homogenizar la tipificación de delitos cibernéticos en materia judicial para que sean aplicables y perseguidos de la misma manera en todas las naciones miembros, contando con una política penal común, y
  2. La segunda es la de la protección a la sociedad por medio de acciones cooperantes y canales de comunicación 24/7 que atiendan y provean información de dichos delitos a nivel mundial, con el fin de crear acciones preventivas y correctivas ante dichos delitos informáticos.

De dicho convenio del cual forman parte más de 60 países, en su mayoría de Europa y Norteamérica, en Latinoamérica se encuentran países como Argentina, Chile, Costa Rica, Paraguay, República Dominicana y Panamá y quienes lo han ratificado, Colombia, México y Perú.

Uno de los temas que busca el convenio, es facilitar los medios de extradición para la persecución penal de delitos cibernéticos perpetrados en el territorio de los países miembros, el artículo 24 de dicho convenio, en la columna referente al apoyo mutuo, menciona todo lo relacionado a la extradición y su mecanismo, a su vez establece que dicho convenio se puede tomar como sustento para un proceso de extradición de no existir el mismo por medio de otro acuerdo o convenio.

Una muestra de lo que el convenio ha facilitado es la solicitud de extradición del expresidente panameño Ricardo Martinelli (2009-2014), quien la justicia de Panamá le atribuye cuatro cargos:

  1. Peculado por malversación,
  2. Peculado de uso,
  3. Seguimiento sin autorización judicial e
  4. Interceptación de las comunicaciones sin autorización judicial.

El pasado mes de agosto fue autorizada, por el gobierno norteamericano, la orden de extradición, el sustento que facilitó dicha resolución fue lo contenido en el convenio, en la legislación panameña y en la estadounidense, referente al delito de “intercepción ilegal de comunicaciones”. A pesar de estar involucrados varios temas políticos y de malversación en la persecución penal, la solicitud de extradición no pudo realizarse bajo el tratado de extradición firmado entre Estados Unidos y Panamá en el año 1904; fue hasta lo contenido en el Convenio de Budapest, del cual ambos países son miembros, que pudo hacerse efectiva, ya que el cargo contempla el delito de escuchas ilegales a 150 personas entre opositores, periodistas y empresarios en los años 2012 a 2014.

Las organizaciones de cualquier parte del mundo se encuentran amenazadas en un mundo interconectado, tal es el caso ocurrido en el 2017 con el virus Wannacry, que afecto a cientos de empresas e instituciones en Europa y América secuestrando computadoras a través de un ransoware (software de secuestro) que utilizaron piratas informáticos aparentemente de Corea del Norte en uno de los ataques más grandes que ha afectado al mundo, este software llega a cualquier computadora y aprovechando una brecha de seguridad, por la falta de una actualización de sistema, se instala en la computadora y secuestra la información negando el acceso al usuario mostrando una pantalla donde se solicita un rescate que inicia por un valor de US$300.00 en forma de bitcoins, por máquina, en un tiempo determinado, de lo contrario se perdería la información contenida en el equipo.

Este tipo de malware se instala en una computadora dentro de una red y se esparce por la misma llegando a otras computadoras, tomando así de secuestro varias máquinas de importantes organizaciones en el mundo, entre ellas Telefónica. Fue tal la amenaza que Telefónica giró una orden a nivel mundial a todos sus colaboradores de apagar sus equipos inmediatamente y no accederlos hasta que la amenaza hubiera sido controlada y evitar así su propagación, dejando fuera de operaciones a telefónica y varios de sus servicios por horas, provocando pérdidas millonarias. Este ataque no fue un ataque dirigido a Telefónica en particular, fue un ataque masivo y que se estima afectó a 300,000 máquinas en 150 países.

En este caso, Estados Unidos acusó y responsabilizó a Corea del Norte formalmente de dicho ataque, se realizaron investigaciones al respecto pero no se logró dar con el paradero de los cibercriminales responsables, lo cierto es que, las organizaciones e instituciones se encuentran vulnerables ante lo que denominaremos la “Ciberguerra” y que incluso meses después del ataque masivo conocido, el ransoware Wannacry siguió afectando a empresas como fue el caso de LG, el sistema de tráfico aéreo de Australia y un Boeing que se encontraba en vuelo a finales del 2018.

En estos escenarios y en otros como el robo de datos de cuentahabientes como los casos Equifax y Capital One del año 2017 y 2019 respectivamente, las acusaciones de escucha de comunicaciones de Google por medio de su sistema de asistente de Android, el robo al sistema financiero de México del año 2018 donde extrajeron más de $15 millones, el hackeo al servidor de información de la embajada de México en Guatemala del presente año, son ejemplos de los altos riesgos que lleva una mala gestión de riesgos en temas informáticos.

La gestión de riesgos y el compliance, como instrumentos de prevención ante la ciberdelincuencia.

Lo relevante de los ciberdelitos en Latinoamérica, no radica en su persecución penal sino en la prevención. Los países latinoamericanos, en su mayoría, se encuentran carentes de la infraestructura tanto legal como investigativa para la persecución de los ciberdelitos. Debemos fortalecer la prevención de las organizaciones públicas y privadas para que éstas, bajo una metodología de gestión de riesgos y una serie de acciones de cumplimiento, implementación de normas, estándares y buenas prácticas en materia de seguridad de la información, no sean víctimas de este tipo de ilícitos y que puedan generarles impactos financieros, reputacionales o legales.

El Foro Económico Mundial en su Informe de Riesgos Globales 2019 2 , posiciona el fraude de datos y los ataques cibernéticos entre los primeros cinco riesgos globales, lo que nos lleva a la pregunta de ¿si las organizaciones están expuestas a ciberriesgos? En realidad, ya no se trata de saber si son víctimas de fraude, ataques cibernéticos o cualesquiera amenazas, sino ¿cuándo y cómo pasará?

Entre los factores tecnológicos que pueden dar origen a distintas amenazas en el futuro cibernético se encuentran:

  1. Innovaciones en arquitecturas de TI: soluciones como la nube, han disuelvo los perímetros de red y protección.
  2. Tecnologías exponenciales: el desarrollo acelerado de nuevas tecnologías como la robótica y la automatización, están construyendo una brecha entre las tecnologías tradicionales.
  3. Redes móviles: la movilidad se ha acrecentado y con ello el desarrollo de nuevos comportamientos humanos.
  4. El internet de las cosas o IoT: un importante número de nuevos dispositivos están surgiendo, lo que aumenta el campo de acción de los ciberdelincuentes.
  5. La inteligencia artificial o IA: tarde o temprano, la IA podría experimentar fallas, comportamiento no deseado o manipulaciones intencionadas.

Como cualquier amenaza que se haga efectiva, implica pérdidas económicas para las organizaciones, aunque en algunos casos resulte ser sólo el ápice del problema, comparado con las consecuencias reputacionales que pueden suscitar. Virus que almacenan pornografía infantil en computadoras de terceros, con el fin de que el verdadero delincuente no sea descubierto e incriminado; empresas demandadas por sus clientes por exposición de información privilegiada; empresas demandadas por utilización ilegal de software, son algunos de los casos que pueden implicar a una organización en asuntos legales.

Derivado de lo anterior surge la interrogante de ¿qué hacer ante todo esto? El diseño e implementación de un sistema de gestión de seguridad informática con un enfoque basado en riesgos puede ser considerada una decisión estratégica para las organizaciones. Marcos de referencia como las normas ISO 27001 Sistema de Gestión de Seguridad de la Información, ISO 22301 de Continuidad del Negocio y la ISO/IEC 20000 sobre la Gestión de Servicios TI, son herramientas muy funcionales para la prevención y gestión de la seguridad.

Por otra parte, las organizaciones que han implementado o se encuentran en proceso de implementación de un programa de compliance, fortalecen la gestión de riesgos, puesto que ¿quién más para identificar riesgos de tipo normativo que el oficial de cumplimiento? Este escenario está encaminando a las organizaciones a fortalecer el trabajo en equipo y la comunicación interna y externa. De esta cuenta, los responsables de la seguridad informática y los responsables del compliance, pueden generar la sinergia que las organizaciones necesitan para hacer frente a las amenazas de la ciberdelincuencia, a fin de evitar responsabilidades penales que les podrían afectar.

Los negocios pueden estar teniendo éxito, pero en ocasiones pueden dejar de lado, o simplemente no darse cuenta, que están incumpliendo requerimientos de seguridad informática. Por ejemplo el caso popular de la empresa Cambridge Analytica, en la que se investigaba si Facebook compartió, de manera inapropiada y para fines políticos, información de millones de sus usuarios. Dicho caso llevó a Facebook a desembolsar más de cinco millones de dólares en multas impuestas por la Comisión Federal de Comercio (FTC, por sus siglas en inglés) y la Comisión de Bolsa y Valores de Estados Unidos (SEC, por sus siglas en inglés). Además, Facebook deberá crear una nueva estructura corporativa a fin de garantizar que las decisiones de negocio considerarán, de manera significativa, la privacidad de los datos de sus usuarios actuales y futuros. La pregunta ad hoc al tema sería: ¿Los directivos de Facebook habrían anticipado los riesgos de incumplimiento normativo relacionados con la privacidad de datos?

El compliance puede colaborar con la gestión del ciberriesgo, en el diseño de los planes de tratamiento y mejora, en cuanto a: fortalecer las políticas internas de seguridad informática; elaborar planes de formación y cultura en materia de cumplimiento; implementar canales de denuncia que permitan la interacción de los stakeholders en la gestión de riesgos; diseñar los procedimientos de denuncia y actuaciones legales que se ejecutarán luego de que un ciberdelito es cometido en contra de la organización.

Una organización que expresa regirse bajo principios de ética y transparencia, que cumple con las regulaciones nacionales e internacionales y que, en materia de seguridad informática, mantiene buenas prácticas en el manejo de información, genera una ventaja competitiva y aumenta su valor, además de otros beneficios que de ello se derivan, tales como económicos y reputacionales, que permitan a las organizaciones ser más preventivas que reactivas en la lucha contra los delitos cibernéticos.

La ciberdelincuencia es una realidad y lo importante es que las organizaciones comprendan que la información es su activo más valioso, y ya sea por buenas prácticas o requerimientos normativos, toda acción que conlleve a garantizar su confidencialidad, disponibilidad e integridad, agrega valor a las organizaciones.

Similar Posts