Nueva delincuencia

Boom de extorsiones sexuales y estafas online: ¿cómo frenar los ciberdelitos?

Los delitos virtuales explotaron con la pandemia y el gobierno analiza cómo frenarlos. Cabildo Abierto presentó un proyecto de ley para tipificar nueve ciberdelitos y desarrollar un plan educativo.

ciberdelitos
En 2020 el Departamento de Delitos Informáticos recibió 1.700 denuncias; en 2021 ya van más de 800.

Las extorsiones por contenidos sexuales, las estafas y la pornografía infantil están detrás de la mayoría de las investigaciones que realiza el Departamento de Delitos Informáticos del Ministerio del Interior. En 2020 recepcionó 1.700 denuncias y en 2021 ya superan las 800. Estas cifras excluyen a las denuncias por difamación e injurias en redes sociales, así como a la mayoría de las estafas electrónicas que son investigadas sobre todo por el área de Delitos Financieros; por eso se estima que el número total de denuncias por cibercrímenes es “muchísimo más alto”, indican desde el ministerio.

El pronóstico para el futuro no es bueno. Si los delitos virtuales ya venían creciendo, la pandemia y la irrupción del trabajo remoto habilitaron un campo fértil para que se multipliquen y diversifiquen con la misma celeridad que el COVID-19.

Sucedió que, con el home office, las empresas que tenían a sus estaciones de trabajo protegidas pasaron a tener un perímetro indefinido. La experta en ciberseguridad Ethel Kornecki lo explica así: “Si antes en la oficina trabajábamos en equipos protegidos por especialistas en seguridad e informática, ahora usamos equipos domésticos, que compartimos con nuestros hijos para las clases y para que jueguen. En consecuencia, esos equipos empiezan a tener más vulnerabilidades”.

Lo de las vulnerabilidades es un eufemismo para advertir lo fácil que es que cualquiera de nosotros sea blanco de un ataque virtual sin siquiera sospecharlo. Por un lado está la desprotección que menciona Kornecki y por otro lado nuestra receptividad. En ocasiones, frente a una estafa se puede pecar de exceso de confianza. “Nadie debería pensar que va a ganar un millón de dólares porque se lo dicen en un mail, ni que va a obtener un iPhone de regalo porque sí, ni realizar una transferencia bancaria en una red de wifi pública que puede ser interceptada y redirigida hacia otra cuenta”, advierte Kornecki. Pero pasa.

El fiscal de flagrancia Leonardo Morales cuenta que últimamente recibió casos de personas mayores contactadas por delincuentes que, tras estudiarlos en redes sociales, fingieron ser un pariente que llega del exterior con un regalo. “Luego los llamó un supuesto aduanero para decirles que en la valija hay 400.000 dólares pero que, para recibirla, deben pagar un impuesto que alterna entre 100.000 y 200.000 pesos mediante una compañía de logística internacional. Y lo hacen”.

delito en crecimiento

Falso secuestro: eligen víctimas en las redes

Cuando llegó el 911, el policía le dijo a Sonia (no es su nombre real) que “esto pasa un día sí y otro no”. A las cinco de la mañana la despertó una llamada. Un hombre le preguntó si tenía dólares. “Ni uno”, le respondió ella .”¿Dinero en efectivo?”, siguió. “Tampoco”. “Qué lástima, entonces en media hora va a recibir en su casa dos dedos de Gastoncito”, en referencia a uno de los hijos de la mujer. Detrás se escuchaba el llanto de un hombre pidiendo ayuda. Sonia cortó y llamó a la Policía. “Ya le había sucedido a dos conocidos lo mismo, así que me di cuenta de que era una estafa”, cuenta. Sonia no sabe cómo llegaron a ella, pero desde Delitos Informáticos explican que buscan los perfiles en redes sociales y desde allí sacan los teléfonos e información.

Hay otras ingenierías más difíciles de identificar. Como la pandemia nos obligó a estar más tiempo en casa, las empresas buscaron conectarnos por vías virtuales. Los ciberdelincuentes se aprovecharon y diseñaron decenas de estrategias de estafas que utilizan la clonación de sitios web de organizaciones conocidas.

Suplantando la identidad de empresas como Netflix o Amazon; inventando promociones de compañías de teléfonos o beneficios en farmacias; prometiendo regalos o replicando sorteos en cuentas falsas; simulando ser instituciones financieras que solicitan un cambio de clave mediante un mail o mensaje de texto; o robando las fotos y nombres de personas y generando enlaces a cuentas inexistentes de contenido erótico o pornográfico han logrado concretar el delito que más creció en la época del COVID: el phishing.

“El phishing en 2021 es furor”, dice Winston Rodríguez, director de Delitos Informáticos, y cita el resonado caso de tres adolescentes de Treinta y Tres que estafaron más de tres millones de pesos clonando la página del Banco República y engañando a las víctimas al pedirles que actualizaran su información ingresando a determinado link. “Estudiaron a quién estafar: eligieron a las víctimas analizando cuánto ganaban”, dice.

Estos “anzuelos” pululan en todos los dispositivos tecnológicos. Si caemos y damos nuestros datos en la web camuflada, del otro lado habrá un delincuente “pescando” credenciales y contraseñas para así estafarnos. O puede haber más.

Ataque feroz.

A veces el phishing es solo el paso previo para un delito mucho más dañino: el ransomware. En este caso, tras obtener las credenciales se instala un programa malicioso —un malware— que encripta los datos. Para liberar la información secuestrada se exige dinero, lo que constituye una extorsión.

Este tipo de ataque cortó la iluminación de Portugal por un día, en Estados Unidos dejó inoperante a la principal proveedora de gasolina de la Costa Este y recientemente paralizó a la mayor procesadora de alimentos del mundo. “Y esto recién empieza”, advierte Kornecki. Cada vez avanzan hacia operativas más críticas, por ejemplo afectando a sanatorios. “¿Qué pasaría si pudieran alterar una historia clínica y cambiar la indicación de medicación? ¿O manipular a un robo? ¿O controlar un sistema de calderas de una fábrica generando una explosión?”, plantea la experta y quita el aliento.

Estas historias de ciencia ficción ya están pasando en Uruguay, aunque con mayor discreción. “Las universidades y el gobierno están trabajando en esto —por ejemplo a través de la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic)—; tenemos un centro de respuesta de incidentes que monitorea los ataques y ha logrado mitigar muchos que podrían afectar al gobierno”, dice la experta.

ciberdelitos
La ciberdelincuencia cambió el paradigma de la investigación, dice Winston Rodríguez, director del Departamento de Delitos Informáticos.

Pero la contracara es que no todas las empresas son conscientes del problema y, así como hay algunas muy protegidas, otras tiene su guardia muy débil. “Estoy asesorando a una empresa importante que tiene un lío grande de este tipo”, cuenta el abogado Andrés Ojeda. “Les llegó un mail en inglés: es la extorsión tradicional hecha por medios electrónicos. El problema es que ante la denuncia la respuesta es nula porque más allá de lo legislativo, no tenemos la operativa para perseguir este tipo de delincuente”.

Si bien la norma indica que ante una supresión de datos personales la empresa afectada debe avisar a Agesic, la especialista Kornecki dice que no sucede en todos los casos ya que asumir un ciberataque podría “afectar la imagen” de una firma. No quieren parecer frágiles. No lo reconocen y terminan pagando a los delincuentes. “Lo peor es que nada asegura que esos datos que estaban secuestrados no se usen para nuevos delitos”, señala.

Mientras tanto Uruguay sigue sin adherirse al Convenio de Budapest, el primer tratado internacional que en 2001 le plantó batalla a la delincuencia virtual y que permite una cooperación fundamental entre los países miembros, entre los que se sumaron —en los últimos años— Paraguay, Argentina y Brasil.

“El paradigma de la investigación cambió con los ciberdelitos porque la evidencia la tenés que buscar en el extranjero; es volátil, se duplica y se borra”, expone el investigador Rodríguez. Para afrontar esta batalla, la Policía necesita más personal y mejor capacitado —hoy son 13 funcionarios en Delitos Informáticos— y una inversión continua en equipos costosos. “Ningún software te baja de 10.000 dólares, y a veces comprás uno carísimo y a los tres meses ya no sirve”, plantea. El abogado Ignacio Durán tuvo un caso “muy grande” en el que el ciberdelincuente operaba conectándose desde la plaza de comidas de un shopping y, cuando fue la Policía, no pudo dar con él porque no tenía la tecnología adecuada para localizar la IP del sospechoso.

Además de lo anterior, una herramienta esencial en estas investigaciones es la cooperación internacional. Sumarse al convenio de Budapest permitiría “agilizar” las investigaciones, ya que habría un mejor intercambio de información entre los países miembros (en vez de recurrir a los exhortos, que son más lentos) y “aumentaría el margen” para que las empresas de redes sociales respondan las solicitudes de información más seguido y a más delitos de los que suelen responder, que son el terrorismo, la pornografía infantil y las amenazas de muerte.

Una ley en camino.

Enrique Rodríguez, fiscal especializado en delitos económicos y complejos, fue designado como punto de contacto entre la Fiscalía y la CiberRed, una red de fiscales de Iberoamérica creada para actuar de forma coordinada en la lucha contra el cibercrimen y que promueve la capacitación y la cooperación internacional. Tal y como él lo ve, la necesidad de legislar en ciberdelitos es “indudable”. Unos años atrás integró un equipo —junto a Agesic, el Poder Judicial y el Ministerio del Interior— que redactó un anteproyecto de ley que no vio la luz. No fue el único: desde 1997 hasta 2016 circularon cinco proyectos, sin éxito.

¿Cómo se juzgan estos delitos si, salvo pocas excepciones, no están tipificados? Para responderse esta pregunta, el abogado Martín Pecoy revisó sentencias y concluyó que en algunos casos los jueces condenan “estirando los delitos que sí existen” y en otros no calzan con la norma y, por lo tanto, quedan impunes. Por ejemplo, una estafa informática no es lo mismo que una estafa tradicional “porque el engaño no es solo contra una persona sino contra un sistema”; y el impacto de una difamación en redes sociales no es el mismo que antes cuando se trataba de una mención en un medio de prensa y quedaba en esa edición, de fácil olvido.

“No se puede aplicar analógicamente la ley, digamos que tiene que ajustarse la gelatina al molde y para ajustarlo lo que se hace es una interpretación extensiva del tipo penal”, dice. Algo así como hacer que la ley diga lo que no pudo decir en el tiempo en que fue aprobada, porque el Código Penal data de 1934 y en ese entonces los ciberdelitos ni se imaginaban.

La semana pasada, Sebastián Cal, diputado por Cabildo Abierto, el más joven de la legislatura, presentó un proyecto de ley para llenar este vacío. Propone incluir nueve ciberdelitos en el Código Penal y desarrollar una campaña nacional educativa sobre el manejo de finanzas personales y ciberseguridad para estudiantes de Secundaria, de escuelas técnicas, los beneficiarios de prestaciones del Banco de Previsión Social y de los programas del Instituto Nacional de Empleo y Formación Profesional.

“En estos meses me pasó que se me acercó gente en la calle, en el súper, en cualquier lado para pedirme consejos sobre préstamos o porque les habían hecho una estafa por internet o en las tarjetas. Y eran tantos casos que dije, ‘acá debe haber algo’. Me puse a investigar y vi que estamos en un pico de denuncias y que no teníamos ninguna ley”, dice Cal. Su mano derecha fue la abogada Graciana Abelenda, que por estos días se pasa recibiendo consultas de personas que la contactan al recibir llamadas o mails sospechosos para saber si confiar o no en su veracidad.

La abogada explica que se inspiraron en el Convenio de Budapest, con la excepción del capítulo educativo, que es una novedad. Se creó pensando en “aquellas personas que con la Ley de Inclusión Financiera comenzaron a manejar un sistema electrónico que desconocían, lo que las posiciona como víctimas fáciles de estos delitos”. Aclara: “Vemos que este proyecto es un primer paso para concretar la adhesión al convenio”. El objetivo, dice, “es generar una regulación específica para los delitos que no están tipificados y que incorpore el daño que trae la dimensión virtual a los delitos tradicionales”.

Lo cierto es que el proyecto cuenta con la firma de representantes de todos los partidos. “No se me ocurre mensaje más claro para la gente de que esto es una necesidad”, dice Cal, confiado en el apoyo aunque sabe que el proyecto “necesita ajustes”.

Con esa meta, le pidió al abogado Durán que le haga un informe. “Una legislación específica va a traer luz a varios delitos que hoy quedan impunes”, opina el experto. Le ha sucedido de estafas electrónicas y difamaciones e injurias en redes sociales que no se resuelven porque los fiscales no ven que cuadre con un delito tradicional. “Me parece muy bueno que se incorpore el delito por suplantación de identidad”, que de aprobarse sería castigado con un año de prisión a seis de penitenciaría, según si hay agravantes.

Este punto también es señalado por Pecoy como una “novedad” que ni siquiera está prevista en el Convenio de Budapest “y muchas veces no se persigue porque si no llega a involucrar otro comportamiento como una amenaza, hoy no existe una figura penal para sancionarla”. Pecoy también destaca la inclusión del delito de daños informáticos (destrucción, daño, obstaculización, alteración, supresión de datos, programas, sistemas o aplicaciones o documentos electrónicos); el acceso ilícito a datos informáticos (apoderamiento o intercepción de mails, documentos o datos); la vulneración de datos (acceder, apoderarse, modificar y difundir o ceder archivos o registros) y el abuso de los dispositivos (adquirir, comercializar o facilitar programas o sistemas, credenciales o contraseñas de acceso a datos para cometer un delito).

¿Y el resto? Los otros delitos pierden consenso entre los expertos. Durán considera que el de terrorismo digital “debería mejorar” y Pecoy opina lo mismo del de estafas informáticas, que limita la inducción de error a “personas” pero debía incluir “sistemas”. El proyecto también tipifica los delitos de stalking o acoso telemático y grooming (acercamiento a un menor proponiéndole un encuentro sexual, pornográfico o exhibicionista) que para el abogado Ojeda ya están tipificados en la Ley de Violencia Basada en Género. “Dos normas que castigan lo mismo traen problemas, no soluciones”, advierte. “Es una buena iniciativa con detalles que se deben pulir. Lo mejor sería que la comisión le enviara el proyecto a las cátedras de derecho penal”, sugiere.

Pero esto es solo una parte del asunto. Así lo expone el abogado Pablo Schiavi: “Los delitos dejaron la calle para pasarse a la virtualidad y tenemos que ocuparnos. Pero hay otra dimensión que hay que atender, que son los derechos. Hay que debatir sobre el derecho al olvido, a la intimidad y privacidad digital y a la desconexión. Hoy no tenemos nada”.

consejos

Tips para no caer en una estafa informática

Ethel Kornecki apronta los últimos detalles para la nueva edición del Congreso Internacional de Gobierno, Riesgo, Auditoría y Seguridad —que organiza ISACA MVD Chapter y se realizará entre el 2 y el 6 de agosto— y se hace un tiempo para repasar algunos cuidados básicos para evitar caer en una estafa electrónica. Para empezar, jamás hacer una transacción desde una red wifi pública. Desconfiar de los mails y mensajes de texto que simulan ser de organizaciones de renombre y nos anuncian regalos, ya sean económicos o de artículos. Y recomienda elegir el doble factor de autenticación en los sitios con contraseña.

Reportar error
Enviado
Error
Reportar error