El jueves 24 de mayo de 2018 sin duda que será un día difícil de olvidar en el Banco de Chile. Desde temprano, un virus había logrado entrar a la red de la institución y comenzaba a inutilizar computadores en todas las sucursales. Mientras el equipo de ciberseguridad enfocaba su atención en «cerrar» 9.000 terminales para proteger datos e información de clientes, transferencias se ejecutaban automáticamente desde cuentas del banco a destinos fuera Chile Algunos de estos traspasos encendieron las alarmas y fue en ese momento cuando notaron que el virus en los computadores era una distracción y que el verdadero peligro era el robo de millones de dólares. 10 millones para ser exactos.
Luego, en el mes de julio, un grupo de hackers llamado “The Shadow Brokers” filtró datos de 14 mil tarjetas de crédito del Banco de Chile y de otras 19 instituciones tales como BCI, BancoEstado, Banco Itaú, entre otros. En agosto, más de 70 mil clientes de BancoEstado sufrieron la filtración de sus datos bancarios por un grupo de hackers denominado “La balsa pirata”, la cual -posteriormente se supo- ocurrió por una brecha de seguridad del servicio “Casilla Virtual Miami” de Correos de Chile.
Estos eventos podrían sugerir que 2018 ha sido el año de los hackers, pero lo cierto es que acciones de este tipo ocurren a diario, y no siempre son de conocimiento público. Muchas veces por resguardo de imagen, pero tantas otras porque los mecanismos preventivos han funcionado. Al respecto, académicos de las Escuelas de Ingeniería Informática y Derecho, abordan desde sus respectivas disciplinas, los alcances de un fenómeno que llegó para quedarse.
La cadena de la seguridad online
De acuerdo al profesor de la Escuela de Ingeniería Informática, Iván Mercado, son 3 los ámbitos que abarcan la seguridad: “Una es la confidencialidad, que nadie que no tenga autorización vea lo que es mío; la integridad, que algo que yo haya hecho no me lo modifiquen ni me lo borren; y por último la disponibilidad, que los sistemas estén activos cuando se quieran utilizar”. Sin embargo, pese a la importancia de esto “la seguridad produce incomodidad” afirma el académico. “La gente se queja de la doble clave, de tener que poner el dedo o andar con el digipass y empieza a decir «mejor llegar y pasar la tarjeta por el lector», porque es más cómodo. Pero se empezó a saber que la tecnología de proximidad, por ejemplo, de las tarjetas sin contacto, podía pasar alguien cerca de uno y generar una transacción. Entonces -de repente- por hacer las cosas más fáciles, caemos en problemas en que generamos mayor inseguridad”, señala el Jefe de Docencia de la Escuela de Ingeniería Informática.
En este sentido, cabe concebir a la seguridad informática como una cadena, y como tal, siempre se ataca el eslabón más débil, puede ser el hardware, el software, o incluso, las personas. De hecho, en el caso del Banco de Chile, antes de introducir el virus, los hackers encontraron una vulnerabilidad para entrar al sistema Swift, la aplicación que ejecuta las transferencias internacionales. Este grado de sofisticación ha hecho que este tipo de ataques hayan sido bautizados como APT, Advanced Persistent Threat. “Si vemos los ataques que se están viendo ahora, que son principalmente ataques por red, hacen uso de vulnerabilidades que son errores que se encuentran en ciertos programas, que permiten que a través de la red o a través de tener acceso a la misma máquina, «bajar la máquina», obtener información que no debieran tener, o tener control de las máquinas”, plantea el académico.
Son estas materias las que la profesora de nuestra Escuela de Derecho, Laura Mayer, ha abordado en su proyecto FONDECYT N°1161066 “Los delitos informáticos en el ordenamiento jurídico chileno: Análisis dogmático y crítico, y propuestas de lege ferenda”. “Este proyecto lo que busca es centrarse en las 3 figuras más emblemáticas: fraude informático, que es la figura estrella por la frecuencia de su comisión; el sabotaje, y hay otra figura que también es relevante y que tiene alguna regulación en la ley 19.223, que es el espionaje informático”, indica.
Al respecto, la académica de Derecho Penal agrega “yo creo que acá las vulnerabilidades tecnológicas son probablemente nuestro mayor problema. En qué medida contamos con la tecnología adecuada para hacer frente a estas situaciones y otorgar un servicio seguro, que funciona adecuadamente. La seguridad es un aspecto muy relevante en aspectos de las transferencias o las operaciones que involucran dinero, y luego también hay otras situaciones. Por ejemplo desde este punto puede ser penalmente relevante que se afecten páginas web y eso me impida realizar ciertas operaciones. Si se trata de un servicio que yo solamente puedo adquirir o contratar mediante la página y no tengo otra alternativa, eso puede ser complejo. Hay muchos aspectos involucrados acá relativos a la seguridad, pero también de la operatividad de los sistemas”.
Millones y criptomillones
Para la profesora Mayer, la inquietud de profundizar esta línea investigativa surgió en el desarrollo de su tesis doctoral en Alemania acerca de la estafa, en donde tuvo una aproximación tangencial respecto del fraude informático. “Cuando uno estudia la estafa, se tiene que adentrar en cuestiones como por ejemplo quién puede ser víctima de una estafa. Entonces claro ahí se genera un problema o una discusión porque siempre se ha dicho que la estafa tradicional es un delito que yo debo cometer respecto de una persona natural, sin perjuicio que una empresa pueda ser la víctima final por así decirlo, porque es su patrimonio el que resulta perjudicado: yo tengo que engañar siempre a una persona natural. Y resulta que el fraude informático -en sentido estricto- es un delito que en el fondo implica manipulaciones informáticas: ahí yo no engaño a una persona, sino que «engaño a una máquina» o manipulo un sistema informático. Esa es en el fondo la diferencia que se da entre estafa y fraude informático”.
El fraude informático sería la figura que más se aproxima al caso del Banco de Chile por ejemplo. De hecho, la entidad -7 días después del hackeo- reportó la situación a la policía hongkonesa, y el equipo de investigación del Distrito 3 del Distrito Central de Hong Kong arrestó a un hombre chino de 28 años como sospechoso del hecho. “En general si uno analiza los casos de cibercriminalidad, la mayoría tienen que ver con fraude informático, que lo que buscan es que una persona obtenga algún lucro a través del comportamiento delictivo”, dice Laura Mayer.
Otro fenómeno online que busca beneficio económico dice relación con las criptomonedas. “La criptomoneda requiere muchos recursos. Entonces también son utilizados virus o malwares, que lo que hacen es atacar a la máquina para generar minería de criptomonedas. Estas empresas pagan porcentajes al primero que logre codificar la criptomoneda para hacer una transacción, por lo que cada vez hay mayor interés de tener más máquinas que hagan minería de criptomonedas. De la criptomoneda uno no sabe el origen, y por eso ha sido muy criticada. Es la fuente perfecta para el lavado de dinero y para otras situaciones criminales”, plantea el profesor Mercado.
A propósito del caso del Banco de Chile y de las criptomonedas, la profesora Mayer recalca que la dimensión transnacional de la criminalidad informática es una dificultad en su combate. “Es un problema que tiene que ver con que va a ser difícil llegar a esa persona: si llego y descubro quién es, es probable que no exista cooperación internacional, y que no haya ninguna posibilidad de extradición. Ahora que Chile pasó a formar parte del Convenio sobre Ciberdelincuencia del Consejo de Europa, se debe propiciar mayor cooperación internacional y ver de qué manera Chile puede aliarse con países que tienen más experiencia en estas materias, que la han investigado mucho más, y que tienen más medios de toda índole para poder hacerles frente”.
Leyes offline
“Con respecto a países más avanzados, estamos más atrasados ¿por qué? porque efectivamente no hay leyes que obliguen a mejorar los estándares de seguridad”, indica el profesor Mercado. Para la profesora Mayer, la ley N°19.223 –que data de 1993- y que tipifica figuras penales relativas a la Informática, tiene problemas, pero que a su juicio no se relacionan con sus 25 años de antigüedad. “Se dice mucho que esta es una norma obsoleta. La verdad es que me parece que es una norma en donde el problema que tiene no pasa tanto porque sea obsoleta. Los problemas creo yo tienen que ver con que en algunos casos se establecen demasiadas exigencias: por ejemplo en el caso del espionaje informático, se relaciona el comportamiento con el ánimo de conocer la información, y eso podría dificultar la aplicación de la figura”, plantea.
Además de esto, esgrime que la ley no es del todo clara en cuanto a si es más grave destruir el hardware o un software, pero que sin duda el mayor problema es que no tipifica una figura clara de fraude informático. “En este momento tú tienes que sancionar el fraude informático a través del sabotaje por destrucción o manipulación de datos, o a través del espionaje porque ingresaste a un sistema informático indebidamente. Pero no tienes una figura que en el fondo lo que implique sea una manipulación informática con el objetivo de afectar patrimonialmente a un tercero. Entonces yo creo que sería adecuado tener una figura en esa dirección, que uno pudiera entender como un complemento de las figuras de fraude tradicional, de las estafas tradicionales y que además tuviera ojalá una penalidad que fuera acorde con esas otras estafas”.
Los delitos informáticos -a diferencia de la criminalidad tradicional- tienen efectos expansivos, porque puede ser que un hacker desde su casa, cometa un hecho y afecte a un sinnúmero de personas, y eso hay que vincularlo con el hecho de que cada vez somos más dependientes del uso de las tecnologías. En esta materia, el profesor Mercado opina que “el problema es que no hay una regulación tan fuerte que obligue a los bancos y ponga multas elevadas como en otros países, en donde hay oficiales de ciberseguridad en las empresas. La seguridad es un proceso, hay que actualizarse constantemente, detectando los nuevos riesgos que hay, adelantándose a los riesgos y a las posibles vulnerabilidades y tomando procedimientos a nivel de la empresa y las organizaciones para combatir esta inseguridad. ¿Que saca una empresa con comprar antivirus y que todos los equipos tengan antivirus, si permite que cualquier persona llegue con sus dispositivos extraíbles, los instale, los conecte o a veces los antivirus no los actualizan? Muchas veces esas políticas generan una falsa seguridad que es más complicada, porque este riesgo uno piensa que ya lo tiene controlado y no se preocupa”.
La profesora Mayer también alude a las medidas preventivas y plantea: “Yo creo que el derecho penal siempre llega tarde, llega cuando el delito ya se cometió, y nosotros queremos evitar el delito. Es cierto que indirectamente el hecho de que estas conductas estén consagradas y tengan una penalidad acorde con su gravedad, puede ser una motivación para que alguien no las cometa, pero yo creo que es fundamental que a través de mecanismos técnicos se prevenga la comisión de estos delitos, lo que involucra un esfuerzo de todos”.
Desafíos 2.0
Para evitar situaciones a gran escala como las de la banca chilena, o más domésticas, como que el vecino ocupe tu red de WiFi, hay elementos que el profesor Mercado considera claves, y que en la Escuela de Ingeniería Informáticas se enseñan transversalmente a los alumnos de pregrado en diversos ramos, y específicamente en las asignaturas optativas de “Seguridad de Sistemas Web” y “Diseño de Sistemas Seguros”. “Se deben establecer normativas y certificaciones ISO, como la 27.001 (Seguridad de la Información). Lo otro importante es que cada empresa debe tener sus políticas de seguridad bien definidas, y lo que es tremendamente importante es la educación, porque de hecho el punto más delicado del control de la seguridad es la ingeniería social, la capa usuario”.
Para la directora del Magíster en Derecho Penal y Ciencias Penales de la PUCV, Laura Mayer, desde su disciplina los desafíos son varios, y junto al equipo de investigadores que la acompañan, los ha considerado en su proyecto FONDECYT “Los delitos informáticos en el ordenamiento jurídico chileno: Análisis dogmático y crítico, y propuestas de lege ferenda”, esta última, locución latina que significa «para una futura reforma de la ley» o «con motivo de proponer una ley». En cuanto a la ley 19.223, la profesora Mayer plantea que debería venir una modificación para acoger lo que establece el convenio sobre ciberdelincuencia.
En cuanto a la incorporación de los delitos informáticos en el Código Penal, la profesora Mayer tiene una opinión favorable al respecto. “No tengo tan claro si en un título especial o a propósito de otras figuras. Creo que ambas opciones tienen pro y contras, pero me parece bueno que simbólicamente se tenga un título dedicado a las cibercriminalidad, pero estoy consciente que muchos de estos delitos también se vinculan con otros delitos tradicionales. Creo que es bueno, a mí me gusta más que los delitos estén en el Código Penal y no en leyes especiales, porque eso favorece una interpretación más sistemática de la figura, porque cuando tú tienes delitos fuera del Código Penal, puedes favorecer una interpretación que los analice de una manera descontextualizada, sin atender a lo que se establece en el Código Penal, y además, la comprensión de los operadores es más simple, es más fácil, cuando los delitos están en el Código Penal. Respecto de las penalidades asociadas a estos comportamientos delictivos, plantea que deberían ser de simple delito, y no de crimen. “No soy partidaria en ningún caso de imponerle a la criminalidad informática –por dañina que sea- penalidades que podrían ser como la del homicidio, en ningún caso. Me parecería desproporcionado a todas luces”.
Finalmente, la académica considera que un gran problema por resolver es la capacitación de la policía y también de los operadores del sistema penal: jueces, fiscales y defensores. “Es una cuestión tan básica como entender cómo se lleva a cabo el comportamiento. Si tú no estás capacitado para enfrentarte a esa prueba, es muy difícil que vayas a poder acreditar que se cometió ese delito, por esos sujetos que estás acusando, y que el tribunal quede convencido que fueron ellos los que participaron en el hecho. Yo creo que eso es un problema crítico: capacitación con recursos, con inversión respecto de policías, y de fiscales fundamentalmente, y también obviamente de jueces y defensores”, concluye.
Por Pedro Martínez
Dirección General de Vinculación con el Medio
