TRAS LAS HUELLAS
Los malintencionados habilidosos de la informática tienen su propia división en Crimen Organizado, cuyo fin es perseguirlos. La misión no es imposible, pero la intrincada legislación internacional y el recelo de las empresas de internet obstaculizan. A veces, como esta semana, gana la Policía.
Pocas presas son más escurridizas y hábiles para camuflarse que un hacker. Un hacker es una persona que utiliza sus conocimientos en informática con fines delictivos o de generar un daño. Por tanto, su éxito está basado en qué tan bien pueden ocultarse y borrar sus rastros en línea para que no se los halle en la vida real. Sin moverse de sus hogares, pueden generar caos en cualquier rincón del planeta.
La Sección de Delitos Tecnológicos (SDT) de la Policía conquistó esta semana una victoria contra estos huidizos criminales. Lograron apresar y procesar a un ingeniero en sistemas de 41 años que ocho meses atrás había extorsionado a una mutualista "secuestrándole" buena parte de sus historias clínicas. Según Julio Sena, director de la Dirección General de la Lucha Contra el Crimen Organizado e Interpol, la novedad de este caso no fue haber atrapado a un hacker, sino que este hubiese pedido el rescate en criptomonedas, en este caso bitcoins, la más conocida. Sena asegura que ya han atrapado a "varios hackers más", algunos de los cuales fueron procesados por extorsión, pero no quiso precisar cuántos porque no consideran los casos cerrados hasta que no se cierran judicialmente.
A los investigadores les tomó ocho meses localizar al hombre en cuestión. Comenzaron a considerarlo sospechoso por la cercanía entre los lugares que él frecuentaba y aquellos en los que se conectaba el hacker, y por tener en cuenta su pasado delictivo en la red. Según relata Sena, el protagonista se había apoderado por medios electrónicos de cuentas ajenas para extraer dinero de ellas, aunque por carencias de la ley en cuanto a ciberdelitos no se lo había podido procesar. En este caso fue procesado con prisión por la jueza Ana de Salterain por un delito de conocimiento fraudulento de documentos secretos en concurrencia fuera de la reiteración, con un delito de extorsión en grado de tentativa.
En lo que va del año, Delitos Tecnológicos recibió 710 denuncias, de las cuales 29 fueron por extorsión. Las más recurrentes son el acoso en redes sociales (van 112 denuncias), le sigue la amenaza a través de la web (con 81 casos), luego aparecen las denuncias por el juego "ballena azul" (70 casos) y también se repite la advertencia por pornografía infantil (con 62 casos).
Siguiendo los rastros.
Delitos Tecnológicos depende de la Dirección Contra el Crimen Organizado desde el año pasado. Desde su origen en 2005 hasta 2016 dependió de la Jefatura de Montevideo y se llamaba Delitos Informáticos. Hoy son pocas las situaciones denunciadas que les atañen solamente a ellos. La mayoría de las veces es una unidad que ayuda a otras unidades. Por ejemplo, si existe un robo de datos de la tarjeta de crédito esta sección colabora para rastrear al perpetrador, pero finalmente se le deriva el caso a Delitos Financieros. Si se detecta que una red de narcotráfico se está moviendo en internet, Delitos Tecnológicos puede ayudar a ubicarlos pero, en última instancia, el asunto depende de la Dirección de Drogas.
El problema de investigar lo que pasa en línea es que internet no reconoce jurisdicciones pero la Justicia sí. Por ejemplo, si se detectan amenazas entre uruguayos a través de Facebook, el dueño de los datos es el gigante informático, una empresa privada en Estados Unidos. Suponiendo que Facebook quiera —y la mayoría de veces no quiere— divulgar los datos que se le piden, el proceso puede demorar unos 10 días a menos que haya una amenaza inminente de muerte. Lo que ellos proveen es la dirección IP. Esa dirección es un número que revela dónde uno se conectó, es decir, una ubicación concreta del usuario. Cuando Delitos Tecnológicos tiene ese número, se dirige a la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento (Agesic), porque es allí donde otorgan los números de IP públicos de la red Wifi. Ellos les indican a cuál de las tres compañías proveedoras de internet (Antel, Claro o Movistar) le corresponde ese número. A continuación, los investigadores deben obtener una orden judicial para que la compañía les entregue los datos de esa IP, lo que puede tomar unos 10 días más. Y al final de este proceso puede que se descubra qué red privada es y a quién está asignada, o que resulte ser una red de un shopping y la investigación termine en un callejón sin salida.
Esos son los pasos a seguir suponiendo que el usuario malintencionado no tenga conocimientos informáticos más allá de los básicos. Porque lo que hacen los hackers más experimentados es disfrazar su dirección de IP, de modo que si los investigadores llegaran a dar con ella, esta sería solo otra pista falsa.
"Es como una máscara", explica Sebastián Stranieri, director de VU, una compañía regional de ciberseguridad. "O sea, se pone una IP falsa y atrás está la dirección IP verdadera. Para lograrlo, los hackers suelen usar servicios llamados redes virtuales privadas, que a veces son pagas y a veces gratis", detalla.
Stranieri describe la búsqueda de un hacker como "ir tejiendo una telaraña" en la que —se espera— quedará atrapado. Cuando se quiere "desenmascarar" una IP, se debe empezar por el primer contacto del hacker y de ahí ir siguiendo "el camino de migajas que deja". Primero se determina qué movimientos o interacciones realizó ese usuario enmascarado. Si mandó un mail, entró a una red social o usó Whatsapp. A partir de allí, se le solicita al proveedor de internet o a las compañías como Facebook y Whatsapp los datos de quien hizo esas interacciones en esos momentos determinados y, con suerte, obtienen la identidad del hacker.
Sin embargo, desde STD advierten que los cibercrímenes "son delitos muy complejos de esclarecer porque las empresas no dan información". Gabriel Lima, director de esa sección policial, afirma que empresas como Google "dicen que colaboran con la Justicia pero es mentira". Y que, a diferencia de los crímenes "reales", donde la Policía puede ir a recoger evidencia, en el cibercrimen los dueños de la información, de la evidencia, son otros. "La información es poder", sentenció Lima. Y muchas veces ellos no la tienen.
Sin fronteras.
Con internet, uno puede hacer algo en una parte del mundo y que el perjuicio ocasionado por esa acción ocurra en otra. En ese caso, el delito se configura legalmente donde hubo daño. Entonces, para que el perpetrador pueda ser juzgado tiene que poder ser identificado —a la distancia— y que el país donde está (asumiendo que se logró la cooperación internacional a través de Interpol) lo extradite o lo juzgue. Para que eso suceda, el hecho cometido debe ser delito en ambos países, cosa que no siempre ocurre. Lima cuenta que la Policía ha tenido que dejar en libertad a consumidores de pornografía infantil porque, a diferencia de lo que ocurre en otros países, su visualización y almacenamiento no son delito en Uruguay.
A veces, los países no tienen un "sistema financiero tan severo" como para permitir identificar a quienes cometen una estafa económica, explica Sena. Pero incluso en los países que sí, lo que ocurre muchas veces es que se asocian los datos del autor del delito con los de una persona en situación de calle, que muchas veces prestó sus datos por alguna suma de dinero. "Y al autor real del delito no lo agarrás nunca", lamenta Sena.
El abogado y docente de Delitos Informáticos en la Universidad de Montevideo, Martín Pecoy, explica que existe un convenio creado por el Consejo de Europa, llamado el Convenio de Budapest, que se elaboró de 1997 a 2001 pero que todavía es el documento que presenta "la mayor cantidad de recomendaciones y sugerencias de tipificación global que cualquier instrumento internacional haya propuesto". El documento prevé nueve delitos específicos de cibercrimen que hoy no existen en Uruguay como tales, lo que significa que cuando ocurren deben inscribirse dentro de los delitos comunes, o incluso llegan a zafar de la punición por verse en un vacío legal.
Tal es el caso de algunos tipos de robo de identidad. Ese delito no existe como tal, por lo que muchas veces se cataloga como "estafa". Pero para que se dé una estafa tiene que haber una inducción al error de un ser humano, explica Pecoy. Cuando un hacker induce al error a un programa de una página web, y a raíz de eso se apodera de los datos de alguien, no es tan fácil atribuirle a esa acción el delito de estafa.
La idea de Budapest es "aplanar por completo las fronteras de la punición y la persecución, así como lo logró la propia delincuencia informática", señala Pecoy. Sin embargo, a nivel mundial todavía se está lejos de una uniformización de la legislación. En Uruguay, en particular, "no existe ningún tipo de delito informático", explica Sena.
El intento más reciente de legislar el crimen en línea fue el proyecto de ley presentado en 2016 por el diputado colorado Tabaré Viera, que puso como antecedente, justamente, al Convenio de Budapest.
Este proyecto de ley prevé, por ejemplo, el "acceso ilícito", comúnmente llamado "hackeo". Hasta ahora no es ilegal que alguien entre sin permiso, por medios electrónicos, a la cuenta de alguien. "El solo hackeo al mail no es delito. Que te revisen los correos sí, pero tampoco es fácil determinar o probar que te leyeron los mails aparte de entrar a tu cuenta", explica Sena. El proyecto de ley de Viera sugiere penar este delito con cárcel, de tres meses a cuatro años.
También tipifica lo que comúnmente se llama phishing, que suele darse en forma de una página alterada o falsa pero que luce como otra conocida y que es utilizada para robar los datos que un usuario introduzca. Este delito (que se llamaría fraude informático) tendría de seis meses a seis años de pena y hacerlo por un beneficio económico sería considerado un agravante. También prevé penas y distintas tipificaciones para la interceptación, alteración, robo o destrucción de datos, el nuevo bien de cambio del mundo online.
El proyecto de ley, lamenta Viera, está "encajonado" en la Comisión de Constitución y Código.
Todopoderosos.
En un mundo crecientemente computarizado, solo la imaginación puede ponerle límites a quien domina a la perfección los secretos de la programación. "Muchas veces pensamos que las cosas de hacker son de película, pero pensar que en Uruguay esas cosas no pasan es algo muy, muy de antes", opina el gerente de consultoría de Security Advisor, Hugo Köncke. "En internet no importa dónde estoy, no importa si soy uruguayo, si soy un gobierno o si soy una empresa privada española", apuntó Santiago Paz, director de Seguridad de Agesic.
Köncke relató un caso en el que uno de sus clientes fue engañado por un hacker en medio de una transacción comercial. Él y un proveedor habitual del exterior conversaban y negociaban hasta que un día su interlocutor le comunicó que había cambiado de cuenta, que por favor le depositara el pago allí. "Es anecdótico porque la transferencia finalmente no entró, pero en esos casos es casi imposible recuperar el dinero", explica Köncke. "El hacker se coló en la conversación y de alguna forma le robó la identidad a una de las partes".
Stranieri, que es argentino, explicó que en su país el robo de identidad se ha vuelto tan común que no sólo está legislado sino que existe un seguro contra eso. Lo que sucede cuando a uno le roban la identidad es que alguien se apodera de los datos de otra persona para realizar transacciones o actividades a nombre de esa persona. "Un día te das cuenta que no te dejan sacar créditos, que estás endeudado, que sacaron muchos celulares a tu nombre, te pusieron de garantía en un negocio y vos sos el que tiene que probar que todo eso no lo hiciste vos. Es como que te vayan desvalijando la casa de a poco sin que te des cuenta", explica.
En Uruguay el delito no está tipificado pero sí ocurre. Pecoy, que trabaja como abogado independiente en casos del estilo, explica que al no estar previsto es difícil que se llegue a castigar a alguien por esto. Las consecuencias de que alguien utilice una identidad ajena pueden ser económicas, legales, penales o hasta la negación de un visado.
Köncke también contó el caso de una mujer a la que un hacker le invadió remotamente la computadora y no sólo se hizo de todos sus archivos, sino que empezó a usar su casilla de mail para hostigar a una tercera persona y hacer que la mujer terminara denunciada.
A Pecoy le preocupa la dimensión geopolítica que ha tomado el ciberdelito, "como se pudo ver con el intento de los hackers rusos de sabotear la elección de Estados Unidos". Además, advierte que el robo de datos puede escalar a cosas tan graves como "borrar los datos de una compañía aérea o de trenes" para causar choques, generándose una nueva forma de terrorismo.
Todos los expertos coinciden: el cibercrimen es un problema grande, un problema de todos, y no hay forma de vencerlo por completo. La carrera se va corriendo con ellos. Uno puede tomar precauciones, pero desde usuarios uruguayos particulares al gobierno de Estados Unidos, nadie escapa a la exposición.
El equipo de respuesta ante emergencias informáticas.
Prácticamente todos los países del mundo cuentan con un CERT, es decir, un Centro de Respuesta a Incidentes de Seguridad Informática. En Uruguay, el director del CERTuy es Santiago Paz.
Los CERT existen desde fines de los 80, cuando empiezan a popularizarse los virus (no muy distintos a los que existen hoy), como respuesta institucional de parte de los países.
El cometido del CERT explica Paz, "es proteger los sistemas de información que son críticos para todo el Estado, para el gobierno, o son sistemas que afecten masivamente". Un sistema es considerado masivo cuando lo usa más del 30% de la población.
En 2009 la empresa Hotmail cometió el error de impedir que se enviaran o recibieran correos desde Uruguay.
"Si una persona no puede acceder a su casilla no lo consideramos un incidente, y si lo reporta seguramente le recomendemos llamar a un técnico, pero si todo el país tiene un problema ahí sí intercedemos", dice Paz.
Desde el CERT se han encargado también de lo relativo a la seguridad de la puesta en marcha del gobierno electrónico y la realización de trámites en línea, ya que las páginas del gobierno pasaron a contar con muchísima información personal de los ciudadanos. Paz asegura que hubo "un componente de ciberseguridad muy, muy fuerte" en el proceso para evitar hackeos.
Extorsióncon cara de anonymous.
El hombre que fue capturado por la Policía esta semana había accedido a la base de datos de una mutualista privada en enero de este año. A diferencia de cómo actuaron los hackers del virus Wannacry, que en mayo de este año atacaron a gobiernos de todo el mundo secuestrando los datos y pidiendo rescate por devolverlos, el ingeniero en informática procesado amenazaba con divulgarlos por tratarse de información sensible (datos de pacientes con VIH o cáncer). Wannacry es un virus del tipo ransomware, es decir, que opera secuestrando información.
Cuando allanaron la casa del detenido se incautaron seis notebooks, cinco celulares, un lector grabador de tarjetas, un lector grabador de discos duros, un router, 13 discos duros de computadoras, 125 plásticos de tarjetas magnéticas, un POS de tarjetas magnéticas, 16 pendrives, 1.460 dólares, 8.320 euros, 157 reales y 3.180 pesos uruguayos, según informó Montevideo Portal. Además, se encontró una máscara de Anonymous, símbolo mundial de los hackers.
Los técnicos que rastrearon los insultos a Sendic.
La Sección de Delitos Tecnológicos (SDT) de Crimen Organizado e Interpol está ubicada en Montevideo pero recibe denuncias de todo el país. La integran 11 técnicos de informática. Según Julio Sena, jerarca del que depende esa oficina, allí no se dedican a monitorear las redes. Quienes lo hacen son los oficiales de la división de Inteligencia, que se dedican a buscar apologías al odio o terrorismo en las redes, pero lo hacen sin apelar a la figura del agente encubierto electrónico. Esa figura es utilizada solo en ocasiones para la lucha contra el lavado de activos.
La mayoría de la veces, en la SDT trabajan para ayudar a otras unidades en la parte de rastreo informático. El caso más mediático que le correspondió exclusivamente a esa sección fue la denuncia presentada por el exvicepresidente Raúl Sendic por injurias. "Facebook ya dio los datos de los usuarios que hablaron mal de Sendic y eso ahora está en el juzgado", comentó Sena.
En dos semanas, los integrantes de la SDT comenzarán su sexta capacitación internacional en el año. Sena comentó que también está planificado un intercambio con Buenos Aires, en el que técnicos argentinos vengan a capacitar uruguayos y viceversa.
Las cifras.
29
Fueron las denuncias por extorsión que recibió la Sección de Delitos Tecnológicos en lo que va del año. Solo una de estas pidió criptomonedas (en este caso Bitcoins) como forma de pago. Hubo 10 más por “sextorsión”.
61%
Es el porcentaje de la penetración de internet en nuestro país. Eso equivale a 2.085.905 personas con acceso a la red, según el estudio realizado por el Observatorio de Ciberseguridad de América Latina y el Caribe en 2016.
11
Son los técnicos que integran la Sección de Delitos Tecnológicos, que es una y funciona para todo el país. Hace 10 años que esa sección (antes llamada Delitos Informáticos) recibe capacitaciones constantes a nivel nacional e internacional.
9
Son los delitos espe- cíficos que prevé el Convenio de Budapest, un documento creado por el Consejo de Europa para legislar el ciberdelito. Además, el convenio propone una fuerte cooperación internacional contra estos crímenes.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
de modo que se deslice hacia la izquierda.
, situado en el área de extensiones del navegador (en la esquina superior derecha de la pantalla). Es posible que veas un pequeño número cubriendo parte del icono.
. Se pondrá en gris, lo que indica que ya no se bloquearán los anuncios de ese sitio web.
.