Delitos InformáticosDesprotección estatal de los datos personales y las estafas informáticas. Adalid Medrano - Abogado especialista en derecho informático - Costa Rica.

La ciberdelincuencia organizada ha incrementado sus acciones en los últimos años y la pandemia ha resultado una oportunidad adicional que los delincuentes no han desaprovechado, lo que puede reflejarse en reportes, como los siguientes:

    1.  “Solo en el primer semestre del presente año han habido más ciberataques que en todo el año 2019“, para un incremento de un 330% con respecto al año anterior. CrowdStrike.
    2. Solo en el primer semestre del año 2020, hemos observado un incremento de un 260% en la frecuencia de Ransomware“. Coalition.
    3. El segundo trimestre del 2020 tuvo un incremento del 152% en los casos donde después de un ataque de malware se confirma que la exfiltración de datos fue exitosa. CoveWave
    4. El costo del cibercrimen para el 2021 será de $11.4 millones por minuto y de la misma forma cada 60 segundos se comprometen 16,172 datos. RiskIQ

La ciberdelincuencia organizada internacional de ransomware también está poniendo los ojos sobre empresas costarricenses, siendo el caso más notorio el que sufrió el Banco de Costa Rica, donde los delincuentes intentaron extorsionarlos y debido a que no pagaron, el Grupo Maze publicó  información personal de sus clientes, lo cual pareciera que no tuvo impacto en fraudes por medio de tarjetas, aunque tampoco se sabe si esta información, que fue descargada por muchas personas, está siendo utilizada por grupos locales.

Las estafas informáticas en Costa Rica han incrementado este año,  de acuerdo al OIJ,  quien reporta que se han interpuesto 8.281 denuncias por estafas,  733 más que en el mismo periodo del 2019, lo que genera mucha preocupación ya que  a la crisis económica que están sufriendo los costarricenses deben agregarle el incremento de la acción de la ciberdelincuencia organizada local, la que se está enfrentando sin una clara ruta por parte de las autoridades, sobre cómo detenerla.

La  ciberdelincuencia organizada local utiliza principalmente el engaño hacia el cliente del sistema financiero nacional para entrar ‘como perro por su casa’ en las distintas sucursales electrónicas y así hacer múltiples transferencias ilegales en cuestión de horas. Por otro lado, grupos criminales internacionales de estafas informáticas bancarias utilizan, en otros países, el malware bancario que puede operar en dispositivos móviles, donde a través de aplicaciones maliciosas que como caballos de troya operan en algunas tiendas de aplicaciones, lo que hace difícil que los bancos protejan a sus clientes si no invierten en tecnologías emergentes como el uso del Big Data y la inteligencia artificial. 

En nuestro país, como lo reporta el señor Erick Lewis, jefe de la Sección Especializada Contra el  Cibercrimen del OIJ, en entrevista para La Nación, tres de los delitos que más han aumentado con la pandemia son:

  1. La suplantación de identidad
  2. La violación de datos personales
  3. La suplantación de páginas web de empresas, entidades e instituciones. (Fuente: Nación.com)

¿Y qué tienen estos tres delitos en común con las estafas informáticas?

Estas tres acciones delictivas suelen encontrarse en el camino de la estafa informática y lo vamos a explicar con 3 casos prácticos donde el ciberdelincuente:

  1. Suplanta la identidad de una persona a través del acceso ilegal a su cuenta de redes sociales para engañar a sus amigos para que hagan un acto que facilita la comisión de la estafa informática.
  2. Compra  una base de datos personales a una persona que trabaja en una empresa (insider), para utilizarla para engañar a un usuario.
  3.  Clona una página web de un banco o institución pública para engañar por teléfono  a una persona para que ingrese sus datos confidenciales del correo o bancarios, aclarándole que por temas de seguridad no se los va a pedir por vía telefónica (lo que logra engañar hasta al que ya aprendió que no debe dar datos en una llamada).

Adicionalmente, otros delitos que suelen acompañar  este tipo de estafas son:

Violación de Correspondencia o Comunicaciones: donde el delincuente logra ingresar a la cuenta de correo electrónico de la víctima, para estafar clientes de bancos irresponsables que utilizan el correo electrónico como vía de recuperación de contraseña y medio para autorizar/notificar transacciones bancarias. Si el ciberdelincuente logra el acceso al correo del cliente, puede acceder libremente a la sucursal digital del usuario sin mayores contratiempos.

Instalación de Malware: a través del engaño logran que el cliente instale un programa informático que le permite el acceso remoto al delincuente. Estos programas suelen ser utilizados para soporte remoto, pero en estos casos se utiliza para tomar control de la computadora de la víctima.

La violación de los datos personales y la estafa informática.

A inicios de este año, el país se sorprendió con el caso UPAD donde el gobierno centralizaba los datos personales de los ciudadanos en Casa Presidencial sin mayores protecciones de seguridad informática,  lo que el Ministerio Público está investigando como violación de datos personales y nos deja muchas dudas sobre la protección de datos personales por parte del Estado. ¿Pero qué tiene que ver esto con las estafas informáticas?.  En lo que se relaciona es que el descuido por parte del gobierno de nuestros datos personales, genera un gran riesgo a nivel colectivo  y a nivel individual, que en el Caso UPAD todavía no se ha podido determinar si el fin por el cual se transfirieron ilegalmente los datos personales fue delictivo, pero si esa información cayera en manos de estafadores informáticos, ya sabemos qué uso le darían.

Los costarricenses reciben cientos de llamadas diarias donde los delincuentes tienen su información personal (como los bancos donde tienen cuentas, los productos que tienen, información de sus hijos, lugares de trabajo, etc) que parece también una  base de datos “centralizada” por parte de los grupos criminales y acá es donde tenemos que entender que el principal paso en este delito es la obtención de datos personales de las víctimas.

¿Pero qué tan fácil se consigue información de una persona en Costa Rica?

A. Información de acceso público.

Sin necesidad de violar la seguridad de sistemas informáticos que resguardan la información de los costarricenses, la información puede encontrarse en:

  1. Bases de datos públicas: Tenemos que tomar en cuenta que solo en bases de datos públicas podemos saber mucho sobre las personas como: hijos, padres, matrimonios, bienes muebles e inmuebles, si la persona está inscrito ante Hacienda, si debe a la CCSS, entre otra información.
  2. Burós de crédito: empresas que centralizan datos de los costarricenses, para que pueda ser consultados por personas que adquieren este servicio, normalmente entidades financieras, para la toma de decisiones de crédito a través del riesgo crediticio. La legalidad de esta actividad es más que discutible, pero en nuestro país no es un tema al que las autoridades le hayan puesto el diente.
  3.  Redes sociales: las personas publican mucha información personal en sus cuentas de redes sociales, aceptan personas que no conocen quienes pueden estar recopilando información de estos para distintos fines.
 B. Sustracción  de información. 

Los delincuentes se aprovechan de la falta de cultura empresarial sobre ciberseguridad y protección de datos personales, por lo que en algunos casos le ponen muy fácil la tarea al ciberdelincuente para el robo de la información y la afectación de sus clientes. El fortalecimiento en estas dos áreas requiere un enfoque informático y legal, para no solo asegurarse que se está protegiendo la información bajo las mejores prácticas, sino que también se hace en cumplimiento de la legislación vigente y los empleados están obligados a seguir los protocolos de acuerdo a la normativa interna.

Para la lucha contra el tráfico de datos personales en nuestro país, en la reforma al Código Penal № 9048, se incorporó el delito de violación de datos personales (artículo 196 bis), lo que le permite a las autoridades perseguir a los delincuentes, antes de que cometan otros delitos usando la información personal como arma en contra de las víctimas. Quiere decir que de cada denuncia que se interpone por estafas informáticas hay información que puede extraerse para analizar si hay una fuente común de la información personal. En algunos casos, he notado cómo muchos casos empiezan a aparecer con características similares entre las personas, como lo es su lugar de trabajo. En ese sentido, con la información que se encuentra disponible en este momento, uno podría especular que hay información que ha sido sustraída de instituciones públicas y de empresas que le permiten a los delincuentes tener un perfil completo de sus víctimas (entre la información de acceso público y la sustraída), lo que facilita elegir los destinatarios de las comunicaciones,  los engaños y/o las vulneraciones a las cuentas electrónicas de las personas. 

¿Qué debe hacer el Estado?

Se debe fortalecer la protección de los datos de los costarricenses, la ciberseguridad y la legislación de lucha contra la ciberdelincuencia, por lo que debería realizar lo siguiente:

  1. Crear una reforma integral de protección de datos personales de acuerdo a los nuevos estándares internacionales y que sobre el presente tema :a.Qué datos deben mantenerse de acceso público (Datos de acceso irrestricto).b. La independencia de la Prodhab (fuera del Ejecutivo) para asegurarnos que fiscalice de forma efectiva el cumplimiento de la ley (Ayer leíamos una bochornosa declaración de la Prodhab sobre la responsabilidad de la CCSS sobre el tratamiento inseguro de los datos relativos a la salud de los pacientes. Esto no puede seguir pasando).
    c. Regulación de los burós de crédito: ya sea que se regulen o se eliminen, pero es una discusión que deberá darse.
    d. Bajo qué términos pueden transferirse bases de datos personales completas de una institución a otra, debido al riesgo informático (más allá de lo contenido en el artículo 14 sobre transferencias de datos).
  2. Crear una ley de servicios bancarios electrónicos que le permitan al usuario financiero:a.Poder tener acceso en tiempo real de qué funcionarios o empleados acceden a su información personal. De esta forma se permite que el cliente pueda tener más herramientas sobre el acceso de su información.b.Poder limitar de forma más personalizada los montos y los bancos a donde se pueden realizar transferencias personales. Esto porque, entre otras cosas, para un delincuente es posible transferir dinero de una cuenta, del mismo usuario, de un banco con mayores protecciones a otro donde pueden hacer más movimientos sin control.c. Procedimiento electrónico expedito para bloquear cuentas. Muchas veces las personas se dan cuenta de forma inmediata que han sido víctimas y lo reportan, pero no hay procedimientos para congelar fondos en las cuentas destino, ni se siguen protocolos para notificar a otros bancos que la transferencia se ha reportado como sospechosa.Y también que se regule, entre otros:d.Prohibición para que un banco pueda tener una vía de recuperación de contraseñas por medios inseguros. Como lo es el caso de la recuperación de contraseña por correo electrónico sin que sea necesario un segundo factor de autenticación, como un token, ya que esto lo usan constantemente los delincuentes para estafar a los clientes bancarios.

    e. Obligación de invertir en tecnología emergente como el uso de Big Data e Inteligencia Artificial para la lucha contra el fraude. Esto permitiría que aún cuando el usuario del sistema financiero caiga ante una estafa informática se pueda limitar el impacto a su economía, al detectar movimientos fraudulentos de acuerdo a los datos que tiene el banco sobre este tipo de delitos y los hábitos del usuario. (A los bancos se les debería dar un plazo prudencial para que hagan uso de esto)

    f.Acceso a proceso gratuito, expedito e imparcial: Con el fin de darles la oportunidad a los usuarios de acudir a un proceso imparcial donde puedan obtener justicia, sin necesidad de que tengan que gastar en un proceso judicial, ya que la situación en la que se suelen encontrar no es la mejor económicamente. Los bancos privados crearon la Oficina del Consumidor financiero, que aunque mucho por mejorar es un primer paso.

    g. Prohibición para que esté habilitado por defecto la posibilidad de transferir fondos provenientes de préstamos electrónicos de la tarjeta de crédito: esto porque los delincuentes informáticos no solo están robando los fondos de los usuarios, sino que también les están generando una deuda al pedir préstamos a la tarjeta para transferirlos a cuentas de forma ilegal. Actividad de la cual claramente el banco se beneficia económicamente y lleva años de estarse dando y muchos bancos siguen sin controlarlo.

Todo lo anterior puede ser parte de una autorregulación por parte de la banca costarricense, pero se requeriría voluntad real de los bancos por detener los fraudes.

3. Fortalecer el CSIRT-CR: se debe fortalecer el Centro de Respuesta ante incidentes de Seguridad Informática nacional, ya que de la misma forma que la Prodhab y como se viene señalando desde antes de UPAD, es un centro débil y al que no se le da suficiente importancia, en momentos donde deberían ser eje central hacia el camino de transformación digital de la Costa Rica del Bicentenario, donde la privacidad y la protección de los datos personales se fortalecen, no se debilitan. 

4. Aprobar el proyecto de ley de Lucha contra la Ciberdelincuencia (№21187 ):  Esto con el fin de que el Poder Judicial finalmente pueda contar con una Estrategia de Lucha contra la Ciberdelincuencia, herramientas procesales y nuevos tipos penales que ayudan a luchar contra las tendencias de la ciberdelincuencia.

Si bien es cierto, hay mucho en este proyecto que podría implementarse en el Poder Judicial sin una ley, hay que tomar en cuenta que la Corte indicó que el mismo afectaba su funcionamiento, ya que “traslada nuevas obligaciones a los funcionarios judiciales en materias especializadas que requieren la contratación de personal y la adquisición de equipos tecnológicos de alto valor”, siendo la verdad que no le obligaba a nada de lo anterior, ya que el Comité que iba a hacer recomendaciones no iba a generarle costo alguno al Poder Judicial.

Conclusión

Si queremos desarticular estas redes criminales debe existir voluntad en el Poder Ejecutivo, Legislativo y Judicial, así como por parte de las instituciones financieras.

José Adalid Medrano Melara

Abogado especialista en derecho informático, conferencista internacional, consultor y capacitador sobre ciberdelincuencia, ciberseguridad y protección de datos personales. Co-redactor de las reformas al Código Penal costarricense sobre delitos informáticos ( Leyes № 9048 y № 9035) y del más reciente proyecto de ley de lucha contra la Ciberdelincuencia (Proyecto № 21187).

Leave a Reply

Your email address will not be published. Required fields are marked *