La lucha contra el cibercrimen: ¿está preparada la Argentina?

¿QUÉ PASA CON EL CIBERCRIMEN EN ARGENTINA?

En el marco del Día Internacional de la Seguridad Informática, dialogamos con Pedro Zárate, Programador Universitario, Abogado y Especialista en Cibercrimen, para conocer más sobre la situación del país en esta temática.

¿Qué se considera ciberdelito?

P.Z: Ciberdelito es toda aquella conducta delictiva que se desarrolla a través del ciberespacio, es decir utiliza el medio y la infraestructura cibernética. Para que esa conducta sea delito en Argentina, debe estar tipificada en nuestro código penal.

Esta conducta disvaliosa puede consumarse a través de un medio informático y también cuando el destinatario de esas conductas sea propiamente un equipo o un activo informático.

El cibercrimen puede realizarse con la informática como medio o como fin. Como medio lo más común son las ciberestafas porque es a través de un mail, a través de un WhatsApp a través de Instagram, a través de la web es donde se produce el contacto, se produce el engaño y da como resultado que la víctima sufre un perjuicio patrimonial. Como fin puede ser un ciberataque porque se puede hacer un ataque a un servidor de alguna empresa y se deja fuera de funcionamiento, se puede instalar un malware a través de un programa o una aplicación , generalmente en segundo plano cosa que la víctima no se de cuenta, y ese malware producir algún daño en algún dato, también está el ransomware (secuestro de datos) lo que hace es encriptar bases de datos, incluso la información completa de un computador y posteriormente los ciberdelincuentes  piden un rescate para enviar el código de desencriptación.

AVANCES, DESAFÍOS Y VACÍOS LEGALES

¿Hay legislación que penalice estas acciones?

P.Z: En el año 2001 se realizó el Convenio de Budapest donde convergieron varios Estados en Europa porque todos padecían problemas de seguridad de la información, problemas de ataques cibernéticos. Una de las características que tienen estos ataques es que son transnacionales, porque el atacante puede estar en un país, la víctima puede estar en otro y donde van a parar las actividades o los resultados de eso pueden estar en otro lugar, entonces es mucho más complejo para la justicia porque hay un conflicto de competencia jurisdiccional por la territorialidad.

A partir de ahí, surge este acuerdo de cooperación, de estandarización y otros elementos más con el convenio de Budapest en Europa.

Argentina empieza a adecuar el plexo normativo local para combatir el cibercrimen y recién en el año 2008 se promulga la Ley 26.388 que es la ley llamada de delitos informáticos.

¿Qué es lo que hace esta Ley?

P.Z: Esta ley introduce nuevos artículos y algunas modificaciones a ciertos artículos del código penal preexistentes, colocando como el medio a la informática.

Por ejemplo las estafas hace muchísimo se conocen como delito, ¿no? pero el medio comisivo de la estafa a través de la tecnología no estaba contemplado, a partir de estas modificaciones, sí.

Así, entre otras cosas se protegió la información porque se tipificaron los accesos indebidos y sin autorización a los equipos y a la información.

En el 2013 se sanciona la ley de grooming que vino a completar otra de las ausencias de nuestro código penal que tiene que ver con la protección de la integridad sexual de los menores, niños, niñas y adolescentes.

En el 2017 se completa también la legislación argentina con la tipificación de la tenencia de pornografía infantil, que no había sido tenida en cuenta la simple tenencia en la ley del año 2008.

¿Todavía hay mucho para hacer en cuestión de legislación y el mundo informático o estamos bien?

P.Z: Aún queda mucho por hacer. Por ejemplo, no está tipificado el robo de identidad, es una tarea pendiente que queda.

Te pongo un ejemplo. Hoy en día es muy común que a alguien le hackeen el WhatsApp. Hackear el WhatsApp significa que se apropian de un número de cuenta y del perfil y de los contactos de la víctima y se hagan pasar por la víctima para pedir dinero, para que le transfieran, para cambiar dólares u otras acciones similares. Ahí lo que se está haciendo es una usurpación de identidad.

Y por supuesto la gente quiere denunciar en la justicia, pero en la fiscalía le dicen a usted no lo han estafado, a los que han estafado son algunos de sus contactos. En realidad lo que han hecho es una suplantación de identidad. Han utilizado el medio cibernético para cometer el delito, apropiarse de su identidad de una red social. Y eso aún no está tipificado como delito en nuestro país. 

¿Cómo es el trabajo de investigación de los peritos informáticos para encontrar a los delincuentes?

P.Z: Es cada vez más complejo, porque no es como otros delitos donde tal vez algo físico es más fácil de rastrear.

La escalabilidad tecnológica que están teniendo los ciberdelincuentes es de asombrarse. Está pasando que te llaman por teléfono o te mandan mensaje y cuando te cortan o se termina la operación se disuelve, desaparece el rastro. Entonces, se puede hacer la denuncia, pero no hay una punta de un hilo como para empezar a investigar.

Si hubiera a lo mejor una llamada registrada, o una dirección de correo electrónico, un número de WhatsApp, es más fácil empezar a investigar, es mucho mejor, pero no siempre pasa. Además, muchas veces esos datos son descartables porque te llevan a cuentas fantasmas.

A la hora de lograr identificar al delincuente se complejiza mucho, porque esa cuenta de donde te robaron no está en la provincia, por ahí puede no estar en el país, los costos del proceso de investigación son caros, la gente de investigación tiene muchísimo trabajo, todo esto juega en contra para llegar a buen puerto con una investigación.

Pero vamos avanzando, así como avanzan las ciberestafas, avanza también la investigación para llegar a encontrar de dónde se hizo.

Además, aparece la posibilidad de que cuando se produce el hecho delictivo, pasa de una manera distinta a la anterior, entonces te abre la incógnita a la investigación, si esto es de otra manera, entonces también podés formular hipótesis de cómo hacer para evitar que suceda de ese otro modo, y así.

Como es todo muy nuevo, vamos avanzando y aprendiendo en el camino y tratando de estudiar para anticiparnos a posibles nuevas formas de delito informático.

Hablaste del convenio de Budapest respecto a acuerdos entre países de Europa, ¿en Latinoamérica sucede algo similar respecto a cooperación en estos temas?

P.Z: No, y es un problema. En Argentina una persona puede tener dos, tres, cuatro, diez cuentas o perfiles de Facebook, en otros países es más difícil, por ej. Alemania te piden acreditar bien tu identidad y eso te da ciertos respaldos.

¿Qué pasa si nosotros acá en Argentina eso lo hacemos? Sería buenísimo, pero el problema está en que esto es transnacional, entonces cualquiera se va a Chile, por ejemplo, y se hace un perfil de Facebook, dos, tres, cuatro perfiles truchos y no hay control.

Entonces se tiene que pensar a nivel regional la regulación, como pasa en la Comunidad Económica Europea, como pasó en su momento con el convenio de Budapest.

En la Comunidad Europea, también desde el 2018, comenzó a regir el Reglamento General de Protección de Datos Personales, que fue un acuerdo de la Comunidad Europea. Bueno, lo mismo tiene que pasar acá, en América Latina. Tenemos que ser regionales en los acuerdos y de esa manera vamos a poder ir mitigando, ir combatiendo el delito en conjunto.

Te pongo un ejemplo, el delito de pornografía infantil. Aquí en Argentina está tipificado en el artículo 128 del Código Penal. Es un delito con una escala penal muy bajo de 3 a 6 años.

En el Código Penal de Colombia, en el artículo 218, ahí te dicen que el que tenga pornografía infantil, produzca, facilite o publicare tiene penas de entre 10 a 20 años. Es terrible la diferencia de penas entre países ¿Qué significa con esto? ¿A qué lleva? Que una persona que comete estos delitos en Colombia no va a hacerlo desde Colombia, sino que por ejemplo se va a venir a la Argentina u otro país de Sudamérica donde la escala penal para el autor sea menor.

¿Cuáles crees que son las cosas, además del acuerdo transnacional, que hay que regular en el país?

P.Z: La suplantación de identidad es un proyecto que está presentado desde el 2011 y desde el 2014 al 2018 se hicieron 3 o 4 proyectos nuevos que penalizan la suplantación de identidad, pero no tienen avance, todos están en estado parlamentario, se puede chequear en el sitio del Congreso de la Nación.

La Ley de Protección de Datos Personales, la 25.326, es del año 2001. No está actualizada, este año vinieron a leer y grabar el iris de una persona y ahí no hay delito, pero es riesgoso, debería estar más regulado. Y la sociedad debería estar más informada, porque desconocemos mucho. Y esto del iris es una información perpetua.

No es como una contraseña que después la podés modificar, son datos biométricos tuyos, vaya a saber el día de mañana qué pasa con esos datos. Si elaboran sistemas avanzados que solo necesiten esa información para acceder a distintas plataformas o cualquier otra cosa, ya tienen tus datos guardados.

Tenemos que aprender a ser usuarios de la tecnología.

Este año publicaron un informe estadístico de grooming, y por ejemplo, Argentina es el segundo país detrás de Paraguay en el que le compran un celular a un menor de nueve años. No digo que no le compren, pero hay que enseñarles a ser usuarios, advertirles, son menores.

Si al niño o niña no le haces el control parental, puede ser muy peligroso. Entonces hay que controlar ese tipo de acceso a los menores a esos sitios prohibidos, a qué juegan, con quiénes hablan. Hoy en día entran a los casinos virtuales, hacen apuestas, juegan online con gente de todo el mundo y puede ser muy riesgoso si no es debidamente controlado.

CONSEJOS PARA NO CAER EN UNA CIBERESTAFA

¿Qué le podrías decir a un usuario común y corriente que tenga en cuenta para no caer en una ciberestafa o en un ciberdelito en general?

P.Z: Que sea muy cuidadoso de las aplicaciones que baja, que las baje de los sitios oficiales de la Play Store o de Apple Store.

Que trate de no ingresar a ninguna página desde algún link que venga en mensaje de texto, de WhatsApp o mail que no conozca el remitente.

Chequear la información. Cuando te piden datos personales, no otorgárselos de primera, sin antes chequear de dónde viene el pedido.

Que no realice operaciones que lleven transferencias de dinero desde aplicaciones externas o desde vínculos que vengan por esos mails, sino que lo haga desde las propias billeteras virtuales conocidas que son las que tienen régimen de seguridad, una vez chequeada la información.

Que ante las ofertas tentadoras primero desconfíen, averigüen bien quién es el oferente, cuál es el sitio. Si ese sitio tiene buena reputación, la cantidad de ventas registradas y si tiene buena calificación de las opiniones de los usuarios, sobre todo del mismo producto que desea comprar.

Que recabe información y que luego tome la decisión.

LABORATORIO DE INFORMÁTICA JURÍDICA Y FORENSE EN EXACTAS

P.Z: En este laboratorio es donde se llevan a cabo estudios que tienen que ver con la vinculación del derecho y la informática,  sobre todo un aspecto que tiene que ver con el ciberdelito.

El laboratorio está relacionado también académicamente al Departamento de Informática en dos materias que son Legislación Profesional y Fundamentos Profesionales y Legales. La injerencia que tiene este laboratorio dentro de algunas unidades de esas materias tiene que ver con lo que es la informática forense.

Los forenses son auxiliares de la justicia. En el caso de la forensia informática, tiene un desarrollo en lo que son las evidencias digitales. Y las evidencias digitales son todos los elementos intangibles que están en un soporte físico que pueden servir como prueba en un juicio para definir un caso.

Las cosas que nosotros probamos en el Instituto están aplicadas a las imágenes forenses, imágenes que se obtienen de lo que son los ordenadores, tanto las desktops como las máquinas portátiles, que tienen un disco de almacenamiento.

Hay otra forensia que está aplicada a los dispositivos móviles pero realizar forensia en dispositivos móviles nos resulta muy complicado porque no existen prácticamente herramientas forenses para dispositivos móviles que sean de licencia libre.

No así con las imágenes forenses, que existen varias herramientas de software libre y que son usadas por peritos muy reconocidos de Argentina, es decir, que nos aseguramos la calidad del software.

Hemos tenido en el Instituto de Informática en el año 2019 y en el 2023, cuando se dictó el módulo de evidencia digital en la diplomatura en ciberdelitos, la presencia de reconocidos peritos de Capital Federal y aplicaban en las imágenes forenses estos paquetes de software que son de licencia libre que usamos nosotros también.