Adalid Medrano


Abogado especialista en Delitos Informáticos y Ciberseguridad

Browsing Category:

Delitos Informáticos

El delito de violación de datos personales y el caso UPAD.

Los ataques informáticos más frecuentes, a nivel mundial, están vinculados de forma directa o indirecta con el «robo» de datos personales, lo que expone al ciudadano a ser víctima de actos discriminatorios o delitos de toda clase.

Por lo anterior, es importante avanzar en el fortalecimiento de regulación que proteja el derecho de autodeterminación informativa de las personas.

¿Qué es el derecho de autodeterminación informativa?

Es un derecho de control, derivado del derecho a la privacidad, que tiene toda persona sobre el flujo de informaciones que conciernen a su persona,  de acuerdo a las garantías y excepciones que contiene el ordenamiento jurídico, con el fin de evitar que se propicien acciones discriminatorias.

En Costa Rica, los ciudadanos tenemos dos vías para podernos proteger cuando se comparten nuestros datos personales de forma ilegal:

1- Agencia de Protección de los Datos de los Habitantes (PRODHAB): en sede administrativa se puede denunciar cualquier violación de datos personales, por tratamiento ilegal de los datos del titular, sin consentimiento expreso o autorización expresa de la ley, de acuerdo a lo establecido en la ley № 8968. La PRODHAB, puede imponer multas de acuerdo a lo establecido en la ley para las faltas leves, graves o gravísimas.

2- Ministerio Público / Organismo de investigación Judicial: en sede penal se puede denunciar la violación de datos personales contenida en el artículo 196 bis del Código Penal, donde la acción violatoria del dato se diferencia de la violación administrativa, debido a que se realiza en beneficio propio o de un tercero.

El Delito Informático de Violación de Datos Personales.

"Artículo 196 bis.- 

Violación de datos personales. Será sancionado con pena de prisión de uno a tres años quien en beneficio propio o de un tercero, con peligro o daño para la intimidad o privacidad y sin la autorización del titular de los datos, se apodere, modifique, interfiera, acceda, copie, transmita, publique, difunda, recopile, inutilice, intercepte, retenga, venda, compre, desvíe para un fin distinto para el que fueron recolectados o dé un tratamiento no autorizado a las imágenes o datos de una persona física o jurídica almacenados en sistemas o redes informáticas o telemáticas, o en contenedores electrónicos, ópticos o magnéticos..."

En la reformas al código penal №9048 y № 9135 se incorporó una protección penal al bien jurídico de autodeterminación informativa, con el fin de proteger al ciudadano del comercio ilegal de sus datos personales.

El beneficio propio o de un tercero.

La violación de datos debe realizarse, sin la autorización del titular, con peligro o daño a la intimidad o privacidad de un tercero, y el beneficio debe ser ilícito, económico o de otra índole, siempre que pueda debidamente ser demostrado en el proceso penal, a través de los medios de prueba permitidos en nuestro ordenamiento jurídico.

No todo tratamiento ilegal de datos personales que no cuenta con la autorización del titular puede perseguirse penalmente, ya que es esencial la existencia de un beneficio para el actor o un tercero, para que la acción encuadre en el tipo penal, ya que si carece de este elemento nos encontramos ante una posible infracción de la ley № 8968, la que puede ser investigada de oficio por la Agencia de Protección de los Datos de los Habitantes (PRODHAB). Esto es así por disposición del legislador, ya que la acción penal debe ser la última ratio y el espíritu de la ley es luchar contra el tráfico ilegal de datos personales, más no combatir por la vía penal todo tratamiento ilegal de datos personales.

El sujeto pasivo.

A diferencia de la ley № 8968, en el tipo penal, no solo se protegen los datos de las personas físicas, sino que también el de las personas jurídicas, por los que los datos de estas tampoco podrán ser tratados ilegalmente si esto le puede generar un daño a su intimidad o privacidad.

A nivel de ejemplo, si una persona vende los estados de cuenta de una persona jurídica nos encontraríamos ante el delito de violación de datos personales.

Los datos personales y la estafa informática


La violación de datos personales suele encontrarse en el camino hacia la comisión del delito de estafa informática, ya que los delincuentes utilizan la información personal para engañar al titular de los datos y darle peso a la ejecución del delito de suplantación de identidad, como en los casos del falso funcionario bancario.

Muchas personas reportan que los delincuentes tienen mucha información sobre ellos, lo que únicamente se pudiera dar si tuvieran posesión de los datos obtenidos de forma ilegal.

CASO UPAD

En este caso que ha sido tan reportado en los últimos días en los medios de comunicación, debe analizarse de forma exhaustiva si existe prueba  o indicios que permitan determinar si algún funcionario pudo obtener un beneficio  ilícito para sí o para un tercero con los datos personales obtenidospor motivo de su cargo.

En el caso de que un funcionario pueda haber extraído  los datos personales, para ser utilizados en cualquier análisis de datos ajenos a la función en UPAD, que pueda haberle generado un beneficio económico o electoral para sí o para un tercero, podríamos encontrarnos ante la comisión del artículo contenido en el numeral 196 bis del Código Penal. 

El caso con Proyecto de ley 21187

De acuerdo con la reforma al 196 bis propuesta, en un párrafo adicional, se podría sancionar penalmente, cuando una persona aún sin beneficio para sí o para un tercero copia la base de datos:

«Será sancionado con pena de prisión de tres a cinco años a quien copie o se apodere de una base de datos electrónica de datos personales, sin la autorización de los titulares de los datos personales contenidos en ésta odel responsable de la base de datos»

La principal diferencia es que permite proteger las bases de datos electrónicas de datos personales y no solo el dato personal de forma individual, en los casos donde no existe un beneficio.

La semana pasada la Fiscalía General realizó un allanamiento sin precedentes en Casa Presidencial, por la investigación de varios delitos, entre ellos el de Violación de Datos Personales.

https://www.youtube.com/watch?v=0qqy9qR7cRc

Sobre el autor

José Adalid Medrano M.

Abogado especialista en  delitos informáticos ciberseguridad,  con más de una década de estudio del fenómeno de la ciberdelincuencia,  co-redactor de las recientes reformas al Código Penal costarricense sobre delitos informáticos ( Leyes № 9048 y № 9035)

Leer biografía completa.

Las estafas informáticas no van a desaparecer.

El cibercrimen se va adaptando de forma constante por lo que se hace bastante difícil para las autoridades poder luchar contra este flagelo, más cuando algunas instituciones financieras estatales parecen más concentradas en culpar a las víctimas que en buscar soluciones con tecnologías emergentes.

La lucha contra esta clase de cibercrimen es compleja por lo siguiente:

1. Desconocimiento de los usuarios financieros sobre seguridad informática.
2. Falta de una estrategia de lucha contra la ciberdelincuencia en el Poder Judicial.
3. Escaso o nulo uso de algoritmos de detección de fraudes en el sector bancario estatal.
4. Falta de recopilación de datos de las denuncias, a nivel judicial y administrativo, que permitan adaptarse con rapidez a las amenazas constantes.
5. Lenta cooperación con el sector privado de telecomunicaciones para la obtención de evidencia que se encuentra en sus servidores.

Mientras buscamos adaptarnos a las nuevas modalidades de comisión de delitos informáticos, los ciberdelincuentes buscarán una modalidad más moderna.

 

Estafa informática desde la cárcel. Foto: DepositPhotos

Estafas informáticas usando malware.

A nivel global, los programas informáticos maliciosos dirigidos al sector bancario, en móviles, han incrementado un 50% este año con respecto al 2018 y aunque en nuestro país no conozco datos sobre si el cibercrimen organizado esté haciendo uso del ‘malware‘ bancario, su llegada podría ser inevitable.

A diferencia, del modus operandi actual de las bandas que se dedican a engañar a los usuarios por medios telefónicos para obtener datos que le permitan cometer estafas informáticas, el malware bancario puede tener una estructura global donde aprovechan aplicaciones que se «camuflan» con fines lícitos, para lograr una instalación masiva y así robar los datos bancarios.

En España, la semana pasada, se detectó la aparición de aplicaciones maliciosas en dispositivos Android donde la aplicación maliciosa se ejecuta cuando el usuario abre su aplicación oficial bancaria y se coloca encima de esta, para robarle todos sus datos.

De acuerdo al especialista Santiago Palomares, analista de malware en Threatfabric, para El País, la forma de operar es la siguiente:

«Los actores maliciosos tienen dos vías para robar: uno, usar la tarjeta. Dos, hacer una transferencia. Si el código de confirmación llega por SMS, la misma app maliciosa puede reenviarlo. «Infectando el teléfono, tienes acceso a los SMS, de modo que si consigues las credenciales y los datos de la tarjeta significa que puedes realizar transacciones en casi cualquier comercio»

Quiere decir, que aún un usuario experto en tecnología podría ser víctima de este engaño, si llegara a descargar por error una aplicación maliciosa.

¿Está preparada Costa Rica para este tipo de ataques?

Los miles de casos denunciados, usando la simple llamada telefónica como método de engaño (Vishing), ha demostrado que los ciudadanos no están preparados para ataques más sencillos, mucho menos para ataques más sofisticados.

Lo anterior no debería tomarnos por sorpresa, ya que el porcentaje de la población que ha recibido educación sobre ciberseguridad desde la escuela es cercano a cero.

Por tanto, si las entidades bancarias no empiezan a utilizar algoritmos avanzados de detección de fraude y las autoridades no empiezan a utilizar formularios especializados en las denuncias de estafas informáticas que ayuden a recopilar información específica, no hay forma de poder salir victoriosos contra los ciberdelincuentes.

Hay que ser claros, la amenaza del malware está estructurada a nivel global y no es necesario una persona llamando todo el día para cobrar víctimas para múltiples delitos informáticos.

Artículo recomendado:

Cómo evitar ser víctima de una estafa informática

Sobre el autor

Abogado especialista en  delitos informáticos ciberseguridad,  con más de una década de estudio del fenómeno de la ciberdelincuencia,  co-redactor de las recientes reformas al Código Penal costarricense sobre delitos informáticos ( Leyes № 9048 y № 9035)

Leer biografía completa.

Asesoría Legal

Si es víctima de un delito informático, puede solicitar una cita para ser asesorado sobre su caso: 

 

C: [email protected]

T: +506 88130930

 Toda consulta tiene un costo.

Diálogos de bienestar: Crimen organizado de las noticias falsas

La difusión de información falsa no es un fenómeno reciente e históricamente ha sido utilizada con fines políticos, para justificar guerras, atacar adversarios, ganar dinero con publicidad y en la era digital inclusive para el acoso cibernético. Sin embargo, en un mundo digitalmente interconectado donde la información fluye con sorprendente rapidez, el arte del engaño alcanza nuevas dimensiones y le permite a un actor político manipular resultados electorales a nivel local o internacional.

Por lo anterior, la difusión de noticias falsas potenciada por los medios electrónicos levanta fuertes alarmas en las democracias modernas, debido a que estas propician una estructura idónea para el libre flujo de información, piedra angular del ejercicio de la libertad de expresión y de prensa.

Seguir leyendo

Delitos informáticos en el ámbito empresarial.

 

Nuestro país tiene una legislación robusta sobre delitos informáticos, por lo que tanto trabajadores como empleadores se encuentran protegidos por diversas normas.

El delito informático por parte del trabajador es bastante común, sin embargo, las empresas no tienen ni estrategias de ciberseguridad que le permitan detectarlo, ni normativa interna especializada que le ayuden a combatir esta tendencia.

En algunas ocasiones, las empresas por desconocimiento tienen prácticas ilegales que vulneran derechos fundamentales de los trabajadores en los sistemas informáticos e inclusive cometen delitos informáticos de forma sistematizada.

Los delitos informáticos  más frecuentes en el ámbito empresarial son:

Violación de correspondencia o comunicaciones (Art. 196, Código Penal): En muchas ocasiones el personal informático tiene acceso ilimitado a comunicaciones y documentos privados de los empleados.

Violación de datos personales (Art. 196 bis, C.P): Los empleados copian y venden bases de datos personales en cuidado de la empresa.

Suplantación de identidad (Art. 230, C.P): Un empleado se hace pasar por otro a través del correo electrónico en una computadora descuidada o a través de firma digital por malas prácticas de cuidado del certificado digital.

Espionaje informático (Art. 231, C.P): Empleados se llevan información  de valor para el tráfico económico de la industria y el comercio, en muchas ocasiones para favorecer a la competencia.

Instalación o propagación de programas informáticos maliciosos (Art. 232, C.P): Un externo o un empleado instala, sin autorización, un programa informático con fines maliciosos que van en contra de los intereses, derechos o los sistemas informáticos de la empresa, empleados o sus clientes.

Sabotaje informático (Artículo 229 ter, C.P): Un empleado, con el fin de borrar pruebas, entrega su computadora con la máquina totalmente formateada, lo que atenta contra las bases de datos.

Daño Informático (Artículo 229 bis, C.P): Un empleado le borra información personal a otro, sin su autorización.

Captación de manifestaciones verbales (Artículo 198, C.P): La empresa o un empleado instala dispositivos que captan la voz de los empleados, con el fin de captar conversaciones personales, las cuales transcurren con expectativa de intimidad por parte del personal.

La combinación de las conductas que se describen arriba son frecuentes y en algunos casos se pueden dar otras conductas del Código Penal o leyes especiales.

Es importante que las empresas hagan una auditoria de cumplimiento de la ley para evitar que se estén cometiendo este tipo de acciones y se deben desarrollar programas de capacitación para que el personal comprenda los alcances de sus acciones a través de los sistemas informáticos.

Sobre el autor

Abogado especialista en  delitos informáticos ciberseguridad,  con más de una década de estudio del fenómeno de la ciberdelincuencia,  co-redactor de las recientes reformas al Código Penal costarricense sobre delitos informáticos ( Leyes № 9048 y № 9035)

Leer biografía completa.

Asesoría Legal

Si es víctima de un delito informático, puede solicitar una cita para ser asesorado sobre su caso: 

 

C: [email protected]

T: +506 88130930

 Toda consulta tiene un costo.

Cómo se lucha contra el fraude por mensaje de texto con la legislación costarricense.

Hoy vamos a hablar sobre los fraudes por mensaje de texto y cómo se pueden perseguir penalmente. 

¿Qué es el ‘Smishing’? (SMS+Phishing)

Es una acción de ingeniería social que se da por medio de mensaje de texto y busca, a través del engaño, obtener información confidencial que le permita al delincuente atacar un sistema informático.

Es muy utilizado por los delincuentes para engañar a clientes del Sistema Financiero Nacional para obtener datos confidenciales aptos para realizar transferencias bancarias ilegales.

¿Es delito en nuestro país?

 

Fuente: Noticias Monumental.

En nuestro país la ingeniería social no es un delito por sí mismo, pero sí puede encuadrar en diferentes conductas. Veámoslo con un ejemplo.

Ayer la Fiscalía de la República envió una alerta sobre un ataque de «Smishing» con el siguiente texto:

«SISTEMA BANCARIO NACIONAL: informa de bloqueo de cuentas bancarias, en las próximas horas, URGE se comunique al…»

Como puede verse, es el típico mensaje de fraude, donde a través de un exagerado llamado de urgencia, se busca convencer al usuario que si no toma una acción en concreto algo terrible pasará. En este caso, la consecuencia terrible es el cierre de sus cuentas bancarias.

Los delincuentes  utilizaron la red de telecomunicaciones para enviar el mensaje de texto de forma masiva y alguna operadora debe tener información relevante para el caso. Nos podríamos preguntar si es posible, en una etapa tan temprana, donde todavía no hay estafas informáticas denunciadas, investigar a las personas que enviaron el mensaje.

Tenemos que tomar en cuenta que las reformas al Código Penal № 9048 y №9135 dejaron al país con suficientes herramientas para perseguir los distintos tipos de delitos informáticos.  

En este caso, podríamos analizar dos caminos:

1. Envío masivo de comunicaciones (SPAM): en nuestro país es delito ofrecer, contratar o brindar servicios de envío masivo de comunicaciones no solicitadas (artículo 232 del Código Penal). Lo que quiere decir que en un caso como este, alguien debe haber brindado el servicio a través de una plataforma de mensajería de texto y como puede esperarse no cuenta con el consentimiento de los receptores de estas comunicaciones. 

2. Violación de datos personales: Si los delincuentes han comprado una base de datos para enviar posteriormente mensajes de texto, nos encontraríamos ante un delito de violación de datos personales (Artículo 196 bis del Código Penal). Lo anterior, porque la venta de datos personales, sin el consentimiento de los titulares es delito.

Es importante destacar que no nos encontramos ante un caso de suplantación de identidad, ya que simplemente se identifican como «Sistema Bancario Nacional», que como tal no es una persona jurídica, ni marca comercial. Sin embargo, al cliente llamar al número de teléfono sí podrían estarse haciendo pasar por una entidad bancaria en específica.

Proyecto de ley de Lucha contra la Ciberdelincuencia

En casos como este, la empresa de telecomunicaciones tiene mucha información que es de utilidad para la investigación, sin embargo, los tiempos de respuesta en nuestro país son largos y para combatir a la ciberdelincuencia se requiere una respuesta más expedita.

En el proyecto de ley 21187, se propone, entre otras cosas, reducir el tiempo de respuesta de las operadoras, para entregar información en su poder en una investigación penal, de meses como se está dando en algunos casos a 24/48 horas. 

También se busca incorporar la ingeniería social como delito, con el fin de darle más herramientas a las autoridades para poder luchar contra este flagelo, a pesar de que no exista un servicio de envío de comunicaciones masivas de por medio, suplantación de identidad o violación de datos personales.  

De momento, solo queda esperar que nuestros legisladores le den la importancia que tiene la lucha contra la ciberdelincuencia y el proyecto de ley vea la luz.

Artículo recomendado. 


¿Cómo evitar ser víctima de una Estafa Informática?

Sobre el autor

Abogado especialista en  delitos informáticos ciberseguridad,  con más de una década de estudio del fenómeno de la ciberdelincuencia,  co-redactor de las recientes reformas al Código Penal costarricense sobre delitos informáticos ( Leyes № 9048 y № 9035)

Leer biografía completa.

Asesoría legal

Si requiere asesoría sobre derecho informático puede contactarse  a través de los siguientes medios: 

(Tel): +506 88130930

Toda consulta tiene un costo.

Qué hacer si es víctima de acoso cibernético.

El acoso cibernético tiene rostro de mujer

El acoso incesante por medios digitales va en incremento conforme los ciudadanos van encontrando en las nuevas tecnologías el medio para realizar este tipo de acciones.

El acoso cibernético suele aparecer en temas pasionales, donde por venganza u obsesión el victimario crea una estrategia sistemática de persecución que puede incluir las siguientes acciones:

De forma privada:

  • Mensajes reiterados e insistentes sobre distintos temas.
  • Mensajes con amenazas de forma directa, a través/hacia terceros cercanos.
  • Mención sobre la posesión de contenido comprometedor (Fotografías o videos íntimos, chats o documentos privados ).
  • Mención sobre detalles que denotan seguimiento de la persona o sus seres queridos (Cómo anda vestido, ubicación, con quién anda, etc )
  • Mensajes de cuentas digitales donde le avisan que alguien solicita un segundo factor de autenticación o que solicita recuperar la contraseña.
  • Control de una o varias cuentas electrónicas.
  • Manipulación de dispositivos conectados a internet (IoT)
  • Contacto a terceros cercanos a la persona, para hacerle saber que está pendiente de ella .

De forma pública:

  • Ofensas en medios digitales (A través de perfiles falsos, en nombre de terceros o con nombre real)
  • Publicación de contenido íntimo.
  • Publicación de datos personales de contacto y otros datos que hacen sentirse insegura a la víctima.
  • Publicación de denuncias falsas.
  • Comprar servicios o productos a nombre de la persona.
  • Acecho de la víctima y/o captación de la vida de la vida en fotografía, audio o vídeo.

Como puede verse este tipo de acoso no solo se da a través de medios informáticos y es potencialmente peligroso por el riesgo constante en diferentes frentes que debe enfrentar la víctima.

En los Estados Unidos una de cada seis mujeres han sido víctimas de «Stalking», de los cuales el 66% de las mujeres y 41% fueron acosados por sus actuales o anteriores parejas.

El acoso cibernético es complejo de perseguir, ya que no existe en nuestro ordenamiento jurídico un tipo penal especial para denunciarlo, sin embargo, al contener distintas conductas delictivas de índole informático, regularmente sí existen formas de seguir el rastro digital que comete el delincuente y así denunciar penalmente, ya que los delincuentes también suelen cometer distintos delitos informáticos o computacionales.

El delincuente se relaja ante la supuesta impunidad que le permite el anonimato o la posible atipicidad de su conducta, pero no toma en cuenta que su desconocimiento legal e informático le puede pasar factura y puede ser denunciado por la comisión de uno o más delitos.

Apoyo especializado

 

En este tipo de casos es importante buscar asesoría pronto.

El fenómeno puede tener diferentes frentes: violencia doméstica, delitos informáticos, delitos contra el honor, violación de datos personales administrativa (Prodhab) y/o ciberseguridad (Protegerse a nivel informático).

Por lo anterior, es importante crear una estrategia integral que permita protección a nivel informático, acciones legales y neutralización del agresor.

El acosador se alimenta del miedo que genera en la víctima y esto le envalentona a tomar más acciones delictivas en contra de esta, lo que puede terminar inclusive en un femicidio.

Cuando el acoso cibernético está vinculado con temas pasionales, el acosador disfruta del control que ejerce sobre la vida de la víctima. He visto que de forma enfermiza, en casos donde la víctima termina la relación con el agresor, pareciera que es una forma mantener un vínculo con su «amado».

Lo más importante es mantener el control y saber que siempre hay formas de resolver.

Proyecto de Ley No 21187.

En el año 2018 se presentó un proyecto de ley donde se incluye el acoso cibernético como delito y se brindan herramientas para que la víctima pueda luchar de forma más efectiva contra este tipo de acciones, aún sin representación legal.

Como ejemplo, cuando el delincuente publica contenidos íntimos en un medio electrónico, se podría solicitar a un juez la remoción del contenido, el cual deberá dar respuesta en menos de 24 horas, siempre que la medida no afecte la libertad de expresión.

¿Qué hacer si es víctima?

Por esto, si usted es víctima del acoso cibernético es importante que tome en cuenta lo siguiente, antes de interponer una denuncia:

➠ No denuncie en la plataforma tecnológica (como Facebook, Twitter,  Youtube u similares) sin primero haber interpuesto la denuncia ante las autoridades o conseguir la certificación o acta notarial del contenido, ya que corre el peligro de que sea borrado antes de ser debidamente documentado.

➠ Documente todo cuanto sea posible, sin alterar prueba . Y si una comunicación, página web o documento electrónico pueden desaparecer, solicite de forma urgente una certificación o acta notarial (Depende el caso).

➠ Si no sabe quién está detrás de la acción delictiva puede ir al OIJ más cercano a interponer la denuncia, pero si sabe quién es la persona puede dirigirse directo a la Fiscalía.

No borre conversaciones o documentos, por más dolorosos que sean, es esencial contar con toda la prueba posible.

Busque asesoría legal con un especialista en la materia lo más pronto posible .

Sobre el autor

Abogado especialista en  delitos informáticos ciberseguridad,  con más de una década de estudio del fenómeno de la ciberdelincuencia,  co-redactor de las recientes reformas al Código Penal costarricense sobre delitos informáticos ( Leyes № 9048 y № 9035)

Leer biografía completa.

Asesoría Legal

Si es víctima de un delito informático, puede solicitar una cita para ser asesorado sobre su caso: 

 

C: [email protected]

T: +506 88130930

 Toda consulta tiene un costo.

Cómo ejecutan uno de los timos del «falso funcionario de Hacienda» para estafar a clientes del Banco Popular.

Los ciberdelincuentes llevan años de estar explotando la inocencia de los usuarios del sistema financiero nacional para lograr obtener datos que les permitan cometer una estafa informática burlando los sistemas de autenticación de usuarios implementadas por el banco donde ejecutarán los abusos informáticos necesarios para cometer estafas informáticas.

El engaño como método para cometer estafas informáticas.

En el caso que voy a explicar en el presente artículo, los delincuentes buscan obtener el control de la cuenta de correo electrónico, con lo que les basta para cometer estafas informáticas de varios millones de colones.

Los timos va mutando conforme las circunstancias varían para los delincuentes, pero el engaño es el actor principal en cada uno de ellos, con el fin de vulnerar el proceso de autenticación bancario.

En el 2008, se anunció con bombos y platillos que los bancos estatales implementaron sistemas de protección contra la estafa informática:

“Durante este mes y el próximo, los cuatro bancos públicos empezarán a ofrecer a sus clientes nuevas “armas” contra el fraude electrónico. En el caso del Banco de Costa Rica (BCR) y Bancrédito, el uso de estos dispositivos será obligatorio a la hora de hacer transacciones por Internet y no tienen ningún costo. En tanto, el Banco Popular y el Nacional ofrecerán mecanismos de seguridad optativos, es decir, el usuario decide si los adquiere o no.” (La Nación, 2008)

Es bien conocido que un sistema de autenticación basado únicamente en usuario y contraseña es absolutamente obsoleto, porque se pueden obtener los datos de autenticación por diferentes medios y así extraer así los fondos de la víctima. Los principales métodos de la ingeniería social que conozco han sido utilizados por los delincuentes en territorio nacional son los siguientes:

Suplantación de página web bancaria: Invitan a las personas al sitio web creado por ellos, con un falso mensaje de urgencia, para que el cliente ingrese los datos necesarios como si estuviera en el sitio oficial. La invitación puede darse por correo electrónico, mensaje de texto o llamada telefónica.

Falso funcionario bancario: Llaman a la persona haciéndose pasar por funcionarios del banco donde el cliente tiene una cuenta bancaria, para alertarle de un trámite de urgencia, para que la persona de este modo  colabore dando los datos.

Programa informático malicioso: A través de una llamada telefónica, haciéndose pasar por un funcionario de una institución gubernamental o bancaria, engañan a la persona para instalar un programa informático que les da acceso al ordenador de la víctima, por lo que podrán capturar cualquier dato que estos ingresen. A partir de ahí, la persona puede visitar sitios oficiales y el delincuente puede capturar todos los datos necesarios.

En este ataque, la persona tiene la falsa impresión de que no le está dando datos informáticos a terceros, por lo que se encuentra seguro.

De momento no se están dando en el país el ataque de propagación de malware en tiendas oficiales de teléfonos móviles, con el fin de capturar datos bancarios, con aplicaciones que ofrecen funciones que pueden ser de interés para el usuario. Este ataque es más peligroso porque la seguridad informática del móvil es vulnerada y se podría hasta sustituir la aplicación oficial bancaria en el móvil de la persona.

El timo del falso funcionario bancario contra clientes del Banco Popular.

 Al cliente bancario lo llaman para indicarle que se le va a dar una exoneración del IVA por ser adulto mayor, ayudarle con el trámite del registro de accionistas, u otro trámite que pueda ser de interés para la víctima, relacionado con Hacienda.

 

Se invita al usuario a ingresar un sitio que suplanta la identidad de Hacienda, donde hay un formulario donde se deben ingresar distintos datos. A la persona se le indica que para obtener el beneficio se debe vincular la cuenta de correo electrónico con Hacienda, por lo que la persona es invitada a ingresar su usuario y contraseña de su correo electrónico.

Finalmente, también deben ingresar el usuario del Banco Popular, pero el delincuente le hace énfasis en que no le van a pedir ningún token, ni contraseña de la entidad bancaria.

Explotación del sistema de recuperación de contraseña.

 

Captura realizada el 17/10/2019 donde se puede ver el proceso para recuperar la contraseña por correo.

El Banco Popular decidió que sus usuarios puedan recuperar la contraseña de su cuenta bancaria, únicamente ingresando su usuario y con esto se le envía al correo las instrucciones para realizar el trámite.

Al mismo tiempo, el banco también decidió que el segundo factor de autenticación fuese a través del correo electrónico, por lo que una vez el delincuente obtiene el acceso al correo electrónico, se garantiza que puede solicitar una nueva contraseña y los OTP (One Time Password ) como segundo factor de autenticación para las transacciones bancarias.

Debido a esta terrible decisión de seguridad bancaria, los delincuentes fabrican engaños que les permitan poder cometer estafas informáticas, en el caso de este timo, solo requieren la contraseña del correo electrónico.

Como los delincuentes controlan el correo electrónico de la víctima, las advertencias de las transacciones podrían ni siquiera llegar a conocimiento de la víctima y cualquier código para «garantizar» que el titular es quien realiza la transacción estará también en control del delincuente.

Debería bastar un solo caso de explotación de una vulnerabilidad como la relatada en este artículo para que el Banco migre a un sistema más seguro, pero al momento de escribir este artículo el sistema de recuperación de contraseña por correo electrónico sigue vigente. Es importante que todos los usuarios activen el segundo factor de autenticación en sus cuentas de correo, para evitar que el mismo caiga en manos de los delincuentes.

Como hemos explicado anteriormente, el sector bancario debe centrar su estrategia más en algoritmos inteligentes que detecten fraudes, usando tecnologías emergentes como el Big Data y Machine learning, para de esta forma proteger mejor a sus clientes y haciendo el sistema menos dependiente de un vulnerable sistema de autenticación bancaria, que depende de conocimientos básicos de seguridad bancaria de los que carece la mayoría de la población.

Mientras la seguridad de los fondos bancarios de los usuarios del sistema financiero nacional dependa de la pericia de los usuarios para combatir los ataques de ingeniería social, las estafas informáticas no se van a detener.

El banco debe proteger al usuario de sí mismo, porque desde que decidió brindar este servicio tecnológico es bien conocido que sus usuarios, en su enorme mayoría, no reciben educación de seguridad informática en ningún momento de su vida y que las campañas de concientización han demostrado ser insuficientes.

Asesoría Legal

Si es víctima de un delito informático, puede solicitar una cita para ser asesorado sobre su caso: 

Correo electrónico:
[email protected]

(Whatsapp): 
+506 88130930

Toda consulta tiene un costo. 

Quién soy

Abogado especialista en  delitos informáticos ciberseguridad,  con más de una década de estudio del fenómeno de la ciberdelincuencia,  co-redactor de las recientes reformas al Código Penal costarricense sobre delitos informáticos ( Leyes № 9048 y № 9035)

Leer biografía completa.

Aclaración al editorial de La Nación: Lucha contra la desinformación

El proyecto de Ley № 21187 no podría utilizarse para encarcelar a periodistas, ni tampoco a políticos que no cumplen sus promesas.

Hoy fue publicado un editorial por parte de La Nación donde se realizan afirmaciones incorrectas sobre los alcances del proyecto de ley, que si fuesen correctas, yo también estaría en contra del tipo penal de Difusión de Información falsa. 

Debido a la alta complejidad del tema y la posibilidad de poder ser malinterpretado, realicé hace semanas un artículo que explica de forma más clara el alcance de dicho artículo contenido el proyecto «Ley para combatir sobre la Ciberdelincuencia«. La explicación sobre la propuesta del tipo penal la puede consultar acá.  

Sin embargo, es importante aclarar varios elementos que contiene el editorial, por lo que voy a incluir extractos con su debida explicación.

«La línea entre verdad y mentira no siempre es clara y una pena de tanto calibre haría pensar dos veces antes de difundir una información que bien podría ser útil para el debate público».

Es cierto, las personas no siempre pueden tener claro cuándo se encuentran ante una información veraz y pueden difundirla de buena fe. Por esta razón, el proyecto de ley elimina la sanción penal al mero difusor de la información falsa y requiere que la persona que realice esta acción deba haberla fabricado.

Al mismo tiempo, al definir qué es una noticia falsa, deja por fuera las que sean realizadas bajo el ejercicio periodístico, lo deja sin armas a quien quiera utilizar la ley para amedrentar a periodistas para que no publiquen noticias que no son de su agrado.

«El propio Johnson aceptó, después de la votación, su falta de correspondencia con la realidad. ¿Debió ser encarcelado? ¿Deben correr la misma suerte quienes difundieron la noticia, creyéndola de buena fe? ¿En qué consiste la “fabricación”? Si Johnson se hubiera limitado a plasmar la falsedad en su autobús de campaña, mil veces retratado en los medios de comunicación, no habría sido responsable de fabricarla y difundirla “a través de medios informáticos”, pero quienes la recogieran de buena fe en Internet sí habrían incurrido en la conducta punible descrita por el proyecto de ley, salvo que la palabra “fabricación” se refiera a la idea inicial surgida de la mente de Johnson.»

¿En qué consiste la fabricación?

El proyecto de ley trata de dejar el menor rango posible a una interpretación amplia y peligrosa, por lo que define qué es una fabricación de noticias falsas:

«toda creación de uno o más hechos falsos, a través de la utilización de medios creados con el fin de engañar o inducir en error al público en general, tales como sitios Web, páginas electrónicas, cuentas personales en medios digitales, imágenes, audios o videos»

Quiere decir que la invención mental de un político sobre un dato o una opinión sobre determinado tema, no podrían ser sancionados penalmente. Esto porque, para bien o para mal, el proyecto de ley busca sancionar la fabricación de noticias falsas en medios informáticos, siempre y cuando contenga los siguientes elementos:

En Costa Rica, Luis Guillermo Solís dijo en campaña que reduciría las tarifas eléctricas, se abstendría de promover impuestos en los primeros dos años de su mandato y negó la urgencia de la situación fiscal. Luego se dio cuenta de que “no es lo mismo verla venir que bailar con ella”. ¿Habría incurrido en la conducta punible descrita en el proyecto de ley cuando repitió esos ofrecimientos, manifiestamente divorciados de la verdad, por medios electrónicos y con el evidente propósito de afectar el resultado? ¿Y los partidarios que recogieron y difundieron esas afirmaciones?

Como hemos visto en los apartados anteriores, con la nueva propuesta de reforma NO se podría perseguir penalmente ni al expresidente, ni tampoco a sus partidarios.

El problema de las falsas noticias no puede ser resuelto por medios capaces de limitar el debate político, la libertad de expresión y la de prensa. 

Estoy totalmente de acuerdo con esta afirmación y es que el proyecto de ley no limita el debate público, pero sí busca protegerlo del crimen organizado de fabricación de noticias falsas que buscan engañar a la población con fines electorales.

En la otra acera, por donde transitan los regímenes autoritarios, el 2018 cerró con 28 comunicadores presos, acusados de difundir noticias falsas, dice el Comité para la Protección de Periodistas. Países como Ruanda, Marruecos y China no han dejado pasar la oportunidad de silenciar críticas con el argumento de combatir la falsedad.

Por esta razón el proyecto de ley excluye de toda sanción a los periodistas que en el ejercicio de su profesión puedan incurrir en errores propios de su profesión y sean amenazados con ser encarcelados. No hay que dejar de lado que en Estados Unidos el presidente señala a la prensa de noticias falsas, por lo que el proyecto de ley define bien qué es una noticia falsa:

«Noticia falsa: Hecho falso, incompleto o inexacto, divulgado con conocimiento de su falsedad y con intención de engañar o hacer incurrir en error al destinatario, diferente a la parodia o al ejercicio periodístico»

De forma expresa se deja claro que las noticias falsas con fines de parodia o en el ejercicio periodístico no podrían ser consideradas noticias falsas.

Con respecto a «hechos incompletos o inexactos» ya se realizó una solicitud formal de eliminación, dejándolo de la siguiente manera:

«Noticia falsa: Hecho falso divulgado con conocimiento de su falsedad y con intención de engañar o hacer incurrir en error al destinatario, diferente a la parodia o al ejercicio periodístico»

El proyecto busca luchar contra el crimen organizado que se dedica a fabricar y difundir noticias falsas, por lo que no busca criminalizar los errores propios del periodismo, ni las falsas promesas de políticos, ya que esto lejos de fortalecer la democracia podría ponerla en peligro.

Como todo proyecto de ley, debe ser ampliamente discutido por la academia, medios de comunicación y demás interesados de buena fe, con el fin de mejorarlo por el bien común.

Propuesta para sancionar la fabricación de noticias falsas dirigidas a engañar al electorado.

Proyecto de ley: «LEY PARA COMBATIR LA CIBERDELINCUENCIA. «

En nuestro país desde el año 2012, con la aprobación de la ley 9048, la difusión de noticias falsas se sanciona con penas de prisión de tres a seis años, si los hechos falsos difundidos son capaces de distorsionar distorsionar o causar perjuicio a la seguridad y estabilidad del sistema financiero o de sus usuarios.

“Artículo 236.- Difusión de información falsa

Será sancionado con pena de tres a seis años de prisión quien, a través de medios electrónicos, informáticos, o mediante un sistema de telecomunicaciones, propague o difunda noticias o hechos falsos capaces de distorsionar o causar perjuicio a la seguridad y estabilidad del sistema financiero o de sus usuarios.”

Noticias falsas en el mundo.

En los últimos años han surgido acusaciones serias de manipulación del electorado con noticias falsas, lo que ha dejado expuesto a las plataformas tecnológicas por el poco esfuerzo que han puesto en el combate de los llamados fake news, debido a que esta técnica ha podido ser utilizada por gobiernos extranjeros para incidir en un resultado electoral.

El caso más emblemático es el de las elecciones de los Estados Unidos en el año 2016, donde se piensa que existió una manipulación del gobierno ruso, lo que le ayudó a Donald Trump a llegar al poder, como lo relata la BBC Mundo:

“Trece ciudadanos y tres compañías rusas fueron acusadas formalmente este viernes por el Departamento de Justicia de Estados Unidos de interferir en las elecciones presidenciales de 2016. Se les acusa de «violar las leyes criminales para interferir en los comicios de EE.UU. y los procesos políticos», señaló la oficina del fiscal especial Robert Mueller, quien investiga la presunta interferencia rusa en la campaña.

Entre sus operaciones, figuran la comunicación de «información despectiva sobre Hillary Clinton, denigrar a otros candidatos como Ted Cruz y Marco Rubio, y apoyar a Bernie Sanders y al entonces candidato Donald Trump».

Recientemente también salieron a relucir las estrategias utilizadas para difundir las noticias falsas de acuerdo a los intereses de sus objetivos, a través del tratamiento ilegal de datos personales de estos.

La controversiales acciones consistieron en lo siguiente:

Un modelo de psicología y un algoritmo de extraordinaria precisión sirvieron a Cambridge Analytica para analizar los perfiles de millones de usuarios de Facebook e intentar influenciar en sus votos.

Alexander Nix, exjefe de la compañía británica, dijo que había logrado hacer un perfil de personalidad de «cada adulto en Estados Unidos» y de esta forma había conseguido influenciar en el resultado de las elecciones que convirtieron a Donald Trump en presidente de Estados Unidos.El modelo de los cinco grandes rasgos de personalidad, que se utiliza en psicología, le sirvió de base.” (BBC)

La responsabilidad ha recaído sobre la plataforma tecnológica quien para la fecha de los hechos permitía que con el consentimiento de un usuario de la red social se recopilaran datos personales de sus amigos, lo cual es una flagrante vulnerabilidad y violación de las diferentes leyes de protección de datos personales donde Facebook tiene presencia.  

Al mismo tiempo, Facebook nunca se cercioró que las empresas que creaban aplicaciones que capturaban datos personales, a través de su plataforma, cumplían con los términos de servicio de la red social, por lo que esto fue aprovechado para realizar actos de captación de datos personales a gran escala.

Riesgos en la regulación de la difusión de noticias falsas.

El sancionar la difusión de noticias falsas puede ser peligroso en un país con una democracia vulnerable y aún en un país como Costa Rica debe realizarse con mucho cuidado, con el fin de asegurarse que una regulación no venga a darle poder a grupos de presión para perseguir penalmente a periodistas debido a errores propios de su profesión.

En este sentido, el proyecto viene a brindar herramientas para luchar contra este flagelo sin poner en peligro la libertad de prensa o expresión.  

También es cierto que no se deben generar sanciones penales en contra de proveedores de servicios electrónicos por el material que otros publican en sus plataformas, pero sí se debe tener los medios para cooperar con estas empresas de forma eficaz, con el fin de poder perseguir penalmente a quienes fabriquen y difundan noticias falsas.

Propuesta proyecto de ley N.º 21187

En la propuesta contenida en el proyecto de ley, se incluye la protección a un proceso de plebiscito, referéndum o electoral nacional o extranjero

Sin embargo, el tipo penal fue estructurado de tal forma, que pueda sancionarse la conducta delictiva, eliminando la posibilidad que pueda utilizarse para sancionar penalmente a la prensa, ni que sea utilizado como un medio judicial para menoscabar la libertad de expresión.

En el proyecto de ley se propone la siguiente redacción:

Artículo 236.- Difusión de información falsa.

Será sancionado con pena de uno a cuatro años de prisión a quien fabrique y difunda, a través de medios informáticos, una noticia falsa capaz de distorsionar o causar perjuicio a la seguridad y estabilidad del sistema financiero o de sus usuarios.

La misma pena indicada en el párrafo anterior se impondrá a quien fabrique y difunda, a través de medios informáticos, una noticia falsa con el fin de  afectar la decisión del electorado en un proceso de plebiscito, referéndum o electoral nacional o extranjero.

La pena será de tres a seis años de prisión cuando a raíz de la difusión de la noticia falsa sobreviniere peligro de muerte para una o varias personas.

Para entender este tipo penal se incorporan dos definiciones en la ley, no en el Código Penal, sino en el artículo 1, correspondiente a las definiciones, que indican lo siguiente:

Fabricación de noticias falsas: toda creación de uno o más hechos falsos, a través de la utilización de medios creados con el fin de engañar o inducir en error al público en general, tales como sitios Web, páginas electrónicas, cuentas personales en medios digitales, imágenes, audios o videos.

Noticia falsa: Hecho falso, incompleto o inexacto, divulgado con conocimiento de su falsedad y con intención de engañar o hacer incurrir en error al destinatario, diferente a la parodia o al ejercicio periodístico.

Como puede verse, para que se pueda incurrir en este tipo penal:

  • Se debe fabricar y difundir una noticia falsa: lo que puede realizar una persona o conjunto de personas con el fin de de engañar o inducir en error al público en general. 

  • La noticia debe ser difundida con el fin de afectar la decisión del electorado, proceso de plebiscito, referéndum o electoral nacional o extranjero.

  • Difundida con el conocimiento de su falsedad.
  • Debe ser diferente a la parodia o el ejercicio periodístico: con lo que no se sancionan difusiones vinculadas al humor o por errores propios del ejercicio periodístico.

Al mismo tiempo, deberá interpretarse tomando en cuenta el artículo 2:

ARTÍCULO 2. Difusión de información de interés público.

Para efectos de aplicación de la presente ley y los tipos penales informáticos contenidos en el Código Penal, no constituirá delito:

  1. La publicación, difusión o transmisión de información de interés público, documentos públicos, datos contenidos en registros públicos o bases de datos públicos de acceso irrestricto cuando se haya tenido acceso de conformidad con los procedimientos y limitaciones de ley.
  2. La copia y uso por parte de las entidades financieras supervisadas por la Sugef de la información y datos contenidos en bases de datos de origen legítimo de conformidad con los procedimientos y limitaciones de ley.
  3. La publicación reiterada e insistente de reportajes o denuncias de interés público.

¿Por qué se protege al periodista de forma expresa y especial?

El proyecto de ley desde la exposición de motivos deja claro que la intención de la norma no es dar mecanismos para sancionar a periodistas en el ejercicio de su profesión y esto es importante porque debido a que si no se hiciera la salvedad de forma expresa, podría usarse como un medio de presión para callarlos, ante denuncias de interés público.

Era necesario además, que se definiera “noticia falsa” excluyendo al periodista, ya que en Estados Unidos el presidente ha utilizado este término para señalar a la prensa ante señalamientos que no le favorecen y con la aparición de los “hechos alternativos”, se podría utilizar como mecanismo para denunciar de forma constante a la prensa.

Al no poder ser considerada una noticia falsa la que emite un periodista, le damos seguridad jurídica a estos profesionales en el ejercicio de su profesión, lo que viene a fortalecer la democracia costarricense.

En los casos donde la noticia publicada por el periodista termine no siendo cierta, nos encontramos ante un escenario donde nuestro ordenamiento jurídico ya contiene soluciones:

  1. Derecho de rectificación o respuesta contenido en la ley de jurisdicción constitucional.
  2. Procesos judiciales, cuando se afecte el honor de una persona.
  3. Sanciones por violación del Código Electoral.
  4. Proceso administrativo por violación del Código de ética del Colegio de Periodistas (si el periodista se encuentra colegiado)

Propuesta se dirige al crimen organizado de difusión de noticias falsas.

Es claro que el crimen organizado no respeta nuestro ordenamiento jurídico, por lo que es claro que todas las soluciones previstas en nuestro ordenamiento jurídico se encuentran obsoletas.

Al exigir la propuesta que una persona deba no solo difundir, sino fabricar la noticia falsa estamos obligando a que estos dos acciones deban ser probadas, lo que si bien es cierto complica la labor del Ministerio Público, al mismo tiempo obstaculiza la posibilidad de utilizar este tipo penal para perseguir ciudadanos comunes que han difundido estos contenidos de buena fe, aún cuando la misma se da con fines electorales.

En la práctica, el tipo penal será principalmente útil en la lucha contra el crimen organizado de difusión de noticias falsas, quienes fabrican y difunden con fines de manipulación electoral y en sus acciones de coordinación podrían dejar una huella digital que podría ser rastreada. 

La rapidez con la que se mueven las noticias por medios digitales hace que sea necesario proveer de mecanismos a las autoridades para luchar contra este flagelo mundial, eso sí, asegurándonos que no se pone en riesgo la libertad de expresión o prensa.

Como todo proyecto de ley, debe ser ampliamente discutido por la academia, medios de comunicación y demás interesados de buena fe, con el fin de mejorarlo hasta donde sea posible.

Actualización:  La Hora Tica Sobre Fake news