INFORME ESPECIAL . ¿Qué es un ciberdelito y cómo se investiga?

Escribe:

Lucas Moyano (*)

Especial para El Tiempo

En los últimos años se ha producido una revolución tecnológica que tiene sus orígenes en 1969, con la creación de internet por parte del Departamento de Defensa de Estados Unidos. Esta ha promovido el desarrollo y la masificación de nuevos aparatos tecnológicos, como computadoras personales, teléfonos inteligentes y tablets, generando un intercambio global y expedito que plantea una modificación de los paradigmas de la comunicación.

El uso masivo de Internet va tomando cada vez más relevancia en el comportamiento de la sociedad. Dentro del denominado ciberespacio, se producen diferentes acciones y, en relación con ellas, surge una pluralidad de consecuencias que afectan en forma directa la vida de las personas. En los días que corren, la dependencia en el acceso a la información y su interconexión mediante la web está presente cotidianamente y a cada minuto en la vida de todos nosotros.

Las particularidades de los ciberdelitos y su medio comisivo generan nuevas formas de investigación, que desafían constantemente el ingenio de quien realiza esta tarea, ya sea para poder hacer frente a las obstáculos procesales para la adquisición de la evidencia en entornos digitales, o para la utilización de nuevas herramientas tecnológicas de investigación; o de tipificación para el encuadre jurídico de la conducta a investigar; o de cómo obtener y preservar la evidencia digital que, dadas sus cualidades y sin utilizar los procedimientos adecuados, puede perderse, con la consecuente eliminación de elementos necesarios para llevar adelante la pesquisa.

Como punto de partida corresponde que conozcamos la definición y características de los ciberdelitos; así también, un breve análisis respecto a sus formas de acreditación mediante la evidencia digital.

¿Qué es un ciberdelito?

Los ciberdelitos son actividades delictivas en donde las Tecnologías de la Información y Comunicación (TICs) se utilizan como medio para la comisión (estafas, extorsiones, corrupción de menores, etc.), o bien, son objetos del delito (acceso ilegítimo a sistemas o datos restringidos, daño informático, denegación de servicios, etc.).

La criminalidad informática incluye una amplia variedad de ciberdelitos. El fenómeno se puede analizar desde dos grupos:

1. Como objeto del delito: esta categoría incluye, por ejemplo, el sabotaje informático, la piratería informática, el hackeo, el crackeo (cracking es la modificación del software con la intención de eliminar los métodos de protección de los cuales este disponga: protección de copias, versiones de prueba, números de serie, claves de hardware, verificación de fechas, verificación de CD o publicidad) y el DDNS (Denegación de servicio de nombres de dominio).

2. Como medio del delito: dentro de este grupo se encuentra la falsificación de documento electrónico y, phreaking, fraudes electrónicos y abuso sexual en línea.

"Ciberdelitos" es una denominación amplia que, al menos, puede diferenciarse entre propios e impropios; los primeros son aquellos que se pueden cometer sólo por medio de las TIC; y los segundos -o delitos "clásicos"- en los que la TIC tan sólo son un nuevo medio comisivo.

Diferencia entre "cibercrimen" y "ciberdelincuencia"

La principal diferencia radica en la organización del delito. Es decir, cuando hablamos de "ciberdelincuencia" nos referimos a aquellos delitos que suceden a diario, tipificados penalmente, pero que ocurren de forma independiente o individual, sin encontrar elementos o indicios que nos permitan observar organización y regularidad en la comisión de la conducta en sí.

En cambio, cuando referimos al "cibercrimen", estamos hablando de una serie de delitos informáticos que ocurren de forma más profesional, organizada y sin otra motivación más que la económica; los sujetos pasivos de estos delitos son elementos fungibles y sin interés para el ciberdelincuente, que sólo busca optimizar sus ganancias a través del perfeccionamiento de distintas técnicas delictivas mediante el uso de la tecnología como eje.

Según el FBI, las organizaciones cibercriminales funcionan como empresas y cuentan con expertos en cada tipo de trabajo y ocupación. A diferencia de una organización empresarial, estos cibercriminales trabajan sin horarios, sin vacaciones y sin fines de semana. Las especializaciones más comunes que tipifica el FBI son las siguientes:

1. Programadores. Desarrollan los exploits y el malware que se utiliza para cometer los cibercrímenes.

2. Distribuidores. Recopilan y venden los datos robados, actuando como intermediarios.

3. Técnicos expertos. Mantienen la infraestructura de la "compañía" criminal, incluyendo servidores, tecnologías de cifrado, bases de datos, etc.

4. Hackers. Buscan aplicaciones exploits y vulnerabilidades en sistemas y redes.

5. Defraudadores. Crean técnicas de ingeniería social y despliegan diferentes ataques de phishing o spam, entre otros.

6. Proveedores de hosting. Ofrecen un entorno seguro para alojar contenido ilícito en servidores y páginas.

7. Vendedores. Controlan las cuentas y los nombres de las víctimas, y las proveen a otros criminales mediante un pago.

8. Muleros. Realizan las transferencias bancarias entre cuentas de banco.

9. Blanqueadores. Se ocupan de blanquear los beneficios.

10. Líderes de la organización. Frecuentemente, personas normales sin conocimientos técnicos que crean el equipo y definen los objetivos.

Características de los ciberdelitos

Este tipo de actividad delictiva cometida en el ciberespacio es muy diversa, pero cumple con las siguientes características:

1. Anonimato. Nos referimos al desconocimiento de la identidad del delincuente. La identidad real del delincuente puede quedar oculta, o bien la conexión desde la cual realiza la acción delictiva.

Tener conocimientos en la materia y habilidades necesarias permite al ciberdelincuente, además de cometerlo, poder encubrirlo. El anonimato conlleva a su vez una difícil persecución del ciberdelito ya que se desconoce, en muchas ocasiones, quién es el autor real o desde qué red ha cometido el delito.

2. Inexistencia de barreras geográficas. Una de las características de las TIC es permitir que la comunicación sea en el momento. No se encuentran fronteras geográficas que impidan que la comunicación se mantenga a distancia, viajando la información y el contenido de un país a otro.

Las tecnologías permiten la comunicación a distancia a través de las redes; el ciberdelincuente puede encontrarse físicamente alejado de la víctima, inclusive en otro país, siendo esto lo más usual, dado que en varios estados la regulación sobre esta materia es escasa o nula. La falta de cooperación judicial internacional convierte a estos estados en paraísos cibernéticos; es decir, en lugares donde es más fácil la comisión de los ciberdelitos.

Gracias a que las tecnologías permiten una comunicación a distancia, el factor geográfico queda eliminado, generando esto numerosas ventajas como inconvenientes; o sea, poder cometer un ciberdelito desde cualquier parte del mundo. La conducta antijurídica puede realizarse en un determinado país, pero el resultado se produce en otro. Por lo tanto, el factor geográfico que se ve eliminado o reducido gracias a la existencia de los medios de comunicación telemáticos y sobre todo de Internet, conlleva a que el ciberdelito adquiera un carácter transnacional en ocasiones, que deriva en la involucración de varias jurisdicciones, legislaciones, organizaciones de control e investigación, etc.

3. Instantáneos. Esta característica está estrechamente relacionada con las nuevas tecnologías, debido a que el momento de realización del ciberdelito es instantáneo. El perfeccionamiento del delito se da en el mismo momento en el que el delincuente lleva a cabo la acción.

4. Masivos. La masividad, como característica de las TIC, se ve reflejada en los ciberdelitos, dado que estas permiten la difusión masiva de contenidos.

5. Pluriofensivos. Con esta característica nos referimos a que los ciberdelitos pueden afectar a más de un bien jurídico protegido a la vez.

6. Facilidad de comisión. Los ciberdelitos también se caracterizan por la escasez de recursos que se requieren para que el delincuente los cometa. Además de los escasos medios, tampoco se requieren conocimientos avanzados ni una gran experiencia, sino que, con tener un dispositivo electrónico al alcance y conexión a la red Internet, se puede fácilmente realizar la acción delictiva. Inclusive, cabe la posibilidad de encontrar personas que se ofrezcan a realizar esos servicios ilícitos, conocidos como empresarios criminales individuales.

El marco legal

A fines del año 2017, la Argentina adhirió al Convenio sobre Ciberdelitos del Consejo de Europa, adoptado en la Ciudad de Budapest en el año 2012. Esto representa un avance fundamental para la lucha coordinada contra este tipo de delincuencia.

El Convenio sobre ciberdelincuencia también conocido como "Convenio de Budapest sobre Ciberdelincuencia" -o, simplemente, "Convenio Budapest"-, es el primer tratado internacional que busca hacer frente a los delitos informáticos y los delitos en Internet mediante la armonización de leyes nacionales, la mejora de las técnicas de investigación y el aumento de la cooperación entre las naciones. Este convenio se encuentra ratificado por Argentina.

Los principales objetivos del Convenio son los de establecer una legislación penal y procesal común entre los suscriptores, para la persecución de delitos cometidos a través de medios electrónicos e informáticos; y, a su vez, fortalecer la cooperación internacional, teniendo en cuenta el carácter transfronterizo de la información que se maneja en la red y los delitos que se cometen utilizándola como medio.

Dentro de los aspectos principales del tratado encontramos:

1. La armonización de las medidas que deben adoptarse a nivel nacional, de esta forma, requiere incluir dentro del Código Penal la tipificación de: Delitos contra la confidencialidad, la integridad y la disponibilidad de los datos y sistemas informáticos, Delitos informáticos, Delitos relacionados con el contenido, y Delitos relacionados con infracciones a la propiedad intelectual y los derechos afines.

2. En materia procesal, busca mejorar la eficacia de las investigaciones y procedimientos penales relativos a delitos cometidos a través de la Red; y, por otra parte, permitir la obtención y conservación de la evidencia electrónica obtenida en estas investigaciones, con miras a su inclusión en juicio.

Para ello busca armonizar la legislación procesal a fin de dotar a las autoridades que intervienen en la persecución penal, de las facultades y herramientas procedimentales necesarias para investigar la comisión de estos delitos.

Respecto a estas medidas y conforme al ámbito de aplicación establecido por el propio Convenio, dichas instituciones no estarán restringidas a investigaciones por cibercrímenes, sino que serán extensivas a todos aquellos procedimientos en que existan evidencias contenida en TICs, sin importar la naturaleza del delito mismo

3. Establecimiento de un régimen rápido y eficaz de cooperación internacional. El convenio realiza una de las categorizaciones más útiles de la ciberdelincuencia utilizada hoy en día, tornándose una herramienta fundamental del Derecho Internacional para la homogenización de las legislaciones penales respecto a los ciberdelitos. El Convenio de Budapest ofrece un concepto basado tanto en la utilización de determinadas técnicas y modo de proceder informáticos (acceso ilícito a un sistema informático, interceptación ilícita, interferencias en el sistema, abuso de dispositivos, fraude informático), como en ciertos contenidos cuya vulneración se ve facilitada por el medio internet (delitos de abuso sexual en línea, contra la propiedad intelectual e industrial, revelación de datos personales). Así, señala cuáles son las conductas que entiende deben ser tipificadas en los ordenamientos penales de los países firmantes, haciendo una clasificación en tres categorías:

-Delitos contra la confidencialidad, integridad y disponibilidad de datos y sistemas informáticos. Engloba las conductas de acceso ilícito (art. 2), intercepción ilícita (art. 3), la interferencia de datos (art. 4), interferencia de sistema (art. 5), y el uso indebido de dispositivos (art.6).

-Delitos relacionados con la informática: estos incluyen la falsificación informática (art. 7) y el fraude informático (art. 8).

-Delitos relacionados con el contenido: abuso sexual de menores en línea (art.9) y la propiedad intelectual (art. 10).

Asimismo, se exponen cuestiones de Derecho procesal como la preservación expeditiva de los datos almacenados, la preservación expeditiva y divulgación parcial de los datos de tráfico, la orden de producción, la búsqueda y la incautación de datos informáticos, la recogida en tiempo real del tráfico de datos y la interceptación de datos de contenido. Además, el Convenio contiene una disposición sobre un tipo específico de acceso transfronterizo a los datos informáticos almacenados que no requieren asistencia mutua (con consentimiento o disponibles al público) y prevé la creación de una red de 24/7 para garantizar una asistencia rápida entre las Partes Colaboradoras.

Líneas para investigar un delito informático

La investigación de los delitos informáticos resulta de por sí compleja, debido a que los investigadores de esta modalidad delictual nos encontramos con un gran escollo: los supuestos autores se esconden en el anonimato y, además, pueden hallarse físicamente a miles de kilómetros y a escasos metros de la víctima.

En este sentido, en el ámbito del ciberespacio, los objetivos primarios son los siguientes:

1) Identificar y determinar el hecho denunciado y los posibles autores de acuerdo a la hipótesis del acusador.

2) Resguardar la evidencia digital: la importancia de su inmediato resguardo radica en que se puede perder debido a su carácter volátil -a diferencia de la prueba física-.

3) Proyectar y realizar diferentes medidas de investigación para identificar al usuario sospechoso.

La investigación puede iniciarse de oficio o por denuncia; en este último caso, la misma debe ser exhaustiva teniendo en vistas el hecho denunciado y la información que debemos requerir para una rápida intervención. Debemos tener presente que, en este acto, también debemos preservar toda la evidencia que se encuentre en poder de la víctima.

Es importante identificar correctamente el usuario del perfil de la red, a través de la URL que sea utilizado para cometer el hecho a investigar. Ello, a los fines de solicitar rápidamente la conservación de datos a la red social y evitar que el perfil sea eliminado y, con ello, la información asociada. Recibida la denuncia es importante, además, adoptar las medidas cautelares urgentes a los fines de hacer el estado antijurídico que provoca el hecho investigado, proteger a la víctima y brindarle la asistencia que requiera.

Cómo se realiza la investigación

Antes de comenzar el análisis de cómo investigar un delito informático, debemos aclarar algunos temas esenciales para comprender el desarrollo de la investigación. Observaremos que un elemento determinante para algunas investigaciones es la dirección IP (etiqueta numérica asignada especialmente a una persona para la conexión a Internet).

Las IP pueden ser internas (red local) o externas (extranet, Internet, etc.), fijas (una vez asignadas no varían) o dinámicas (van cambiando). A toda conexión se le asignará una dirección IP, y ese será uno de los parámetros principales de la investigación. Sin embargo, el autor del delito quedará identificado por medio de la IP utilizada, que deberá ser corroborada o informada pericial y/o judicialmente por medio de la empresa que se utilizó como medio para perpetrar el hecho.

Una vez informada la IP asignada, se verificará a qué proveedor de servicios de Internet pertenece (ISP), y estos (ISP) deberán informar determinados datos del cliente que utilizó la conexión a Internet para cometer el ilícito (recordemos que esa IP es otorgada en la mayoría de los casos en forma temporal por los proveedores de Internet o ISP y a ellos por el ICANN).

En consecuencia, esta información permite dar con el lugar físico de conexión del usuario investigado que utilizó para cometer el delito en entornos digitales.

Por lo pronto, con estos datos e individualizado el supuesto autor o cliente, la línea de investigación podrá recaer en allanamiento al domicilio del titular del servicio y recolección de pruebas contundentes que lo incriminen directamente (número de MAC address, información de tráfico, historial del buscador, memoria del teclado, etc.). Incluso si el autor borró los datos de tráfico (historial) o software (programas) que utilizó para cometer el delito, ya que las unidades de investigación informática, en el momento en que se hagan con el ordenador, podrán -en la mayoría de los casos- recuperar la prueba eliminada. Esto es así porque cuando de navega por Internet, el ordenador almacena las páginas visitadas en un archivo oculto denominado "caché de Internet", que no se borra cuando se limpia el historial de búsqueda. En ese sentido, vale aclarar que los datos del registro de navegación son almacenados en archivos ".dat", permitiendo así detectar indicios para la investigación.

Para los supuestos de delincuencia económica, podremos también recurrir a la investigación de la ruta del dinero: supongamos que nos encontramos ante la investigación de un fraude donde se efectúan transferencias entre cuentas bancarias y billeteras virtuales. Para ello debemos realizar dos acciones concretas: por un lado, conocer quién es el titular de la cuenta de destino; y, por el otro, bloquear esa cuenta para poder recuperar el dinero.

Respecto a la cuenta de destino, donde fueron a parar los fondos transferidos producto del fraude, resultará necesario conocer quién es su titular. Para ello se preguntará a la entidad donde está radicada la cuenta los datos de usuario (nombre apellido, DNI, domicilio, teléfono, fecha de alta o baja). Debemos tener en cuenta nuevas formas de apertura de cuentas donde se consignan además datos biométricos, que constituyen una serie de medidas tendientes a validar la identidad del usuario.

La evidencia digital

La investigación de los ciberdelitos no es una tarea fácil, ya que la mayoría de los datos probatorios son intangibles y transitorios. La evidencia digital es fundamental para la investigación por la información y datos de valor que pueden extraerse de los distintos dispositivos electrónicos, tanto aquellos aportados por el denunciante como los que se encuentren en el lugar de allanamiento. Dicha prueba puede ser, en ciertos delitos, de extrema preponderancia y, en algunos casos, la única evidencia que se puede obtener para el esclarecimiento del delito investigado.

La evidencia digital tiene particulares que la diferencia de la física. Es decir, no es lo mismo secuestrar prueba física que evidencia digital. Comparemos un allanamiento para secuestrar estupefacientes con otro para registrar fotografías o videos de abuso sexual de niños, niñas y adolescentes, o conversaciones entre el groomer y eventuales víctimas en los dispositivos de almacenamiento informático.

Cuando culmina el primero de los allanamientos, se puede determinar inmediatamente si se encontraron o no los elementos provenientes del delito investigado. Sin embargo, no ocurre lo mismo cuando termina el procedimiento para registrar la evidencia digital. Eso es, porque si bien se incautan las cosas u objetos (computadoras, teléfonos celulares, tablets, pendrives, etc.), lo que se busca en realidad son datos; los datos que contienen aquellos objetos. Entonces, cuando se concluye el allanamiento no se tiene conocimiento, en ese preciso momento, de que lo que se busca está efectivamente en el interior de las cosas, en razón de que el verdadero registro se lleva a cabo en el laboratorio forense (salvo algún caso en el que, excepcionalmente y por motivos de extrema gravedad, se decida efectuar el registro en el lugar).

Características propias de la evidencia digital que debemos considerar:

-Está conformada por un conjunto de bits, la mínima expresión de almacenamiento que sólo puede tener un valor binario: cero o uno. Esta característica es clave, en el sentido de que todo registro digital puede ser duplicado y las copias que se realicen del mismo, si siguen las buenas prácticas, serán idénticas e indistinguibles del original.

-Es intangible. El disco rígido es el envase que soporta a los bits de información allí almacenada.

-La evidencia digital posee metadatos, esto es, el dato del dato; por ejemplo, la fecha de creación del documento.

-Permite almacenar grandes volúmenes de información en contenedores de dimensiones reducidas, como puede ser un disco rígido, circunstancia que exige una correcta identificación para no perder evidencia valiosa.

Hemos aportado aquí una visión muy sintética y panorámica de la nueva lógica para investigar en el ciberespacio. La investigación de ciberdelitos es un campo en constante evolución debido a la rapidez con las que las tecnologías y las amenazas se multiplican. Es un proceso complejo que requiere la combinación de diversas técnicas y herramientas para poder identificar, analizar y perseguir a los delincuentes digitales.

Las tecnologías facilitan la perpetración de nuevas conductas delictivas. Los continuos avances de las TICs dificultan cada día más las investigaciones. La realidad siempre va por delante de la regulación legal y la correspondiente sanción punitiva de las conductas reprochables.

En la investigación de este tipo de delitos resulta frecuente que el autor se enmascare bajo identidades falsas a través de la utilización de apodos, o de proxys. Aprovechándose, de ese modo, de la transnacionalidad de Internet.

La extraterritorialidad es frecuente en este tipo de acciones delictivas, lo que conlleva problemas de jurisdicción, de operatividad de los investigadores, determinación de la ley y procedimientos aplicables. Las nuevas conductas delictivas exigen su tratamiento desde una perspectiva internacional.

Una forma adecuada de combatir eficazmente los ciberdelitos pasa por incrementar la cooperación internacional entre países, para lograr un abordaje integral y estratégico.

(*) Especialista en Ciberdelitos y Evidencia Digital. Autor del libro "Ciberdelitos. Cómo investigar en Entornos Digitales", de editorial Hammurabi.