Por Aury M. Curbelo síguela en Twitter en @acurbelo
Introducción
Las nuevas tecnologías de información y comunicación han transformado la vida humana, al proveernos de herramientas de interacción en tiempo real, con acceso ilimitado a toneladas de información y a un sin fin de plataforma innovadores, tales como las redes sociales, blogs, wikis, mapas entre otros.
Pero con la llegada de nueva formas de operar y vivir con la tecnología, aparecen también nuevos delitos que presentan importantes particularidades y han planteado serias interrogantes, que al parecer no serán tan sencillas de resolver.
Asimismo esas tecnologías proveen nuevas oportunidades para la explotación y el abuso de las redes. La proliferación de conexiones abiertas ha creado una red de comunicación global que entrega acceso a ilimitado fuentes de información y de conocimiento. Sin embargo, este crecimiento en la exposición a las tecnologías de información ha generado una multiplicación masiva de códigos maliciosos que circulan libremente en Internet, sin contar el incremento en los ataques maliciosos por parte de los cibercriminales.
Así, es claro que los ataques cibernéticos se han convertido en un problema de alcance mundial. Ponemon Institute reportó que el costo anual de los crímenes cibernéticos rebasó los $36.5 millones de dólares por año por organización o empresa.
Por otro lado, la Organización de las Naciones Unidas en su escrito titulado El Manual de las Naciones Unidas para la Prevención y Control de crímenes cibernéticos señaló que el problema de los crímenes cibernéticos se eleva a la escena internacional, de modo que los delitos en la red constituyen una nueva forma de crimen transnacional y su combate requiere de una eficaz cooperación internacional concertada. Sin embargo, la misma ONU resume de la siguiente manera los problemas que rodean a la cooperación internacional alrededor del cibercrimen:
- Falta de acuerdos globales acerca de qué tipo de conductas deben constituir crímenes cibernéticos.
- Ausencia de acuerdos globales en la definición legal de dichas conductas delictivas.
- Falta de especialización entre las diferentes leyes procesales nacionales acerca de la investigación de los crímenes cibernéticos.
- Carácter transnacional de muchos delitos cometidos mediante el uso de computadoras.
- Ausencia de tratados de extradición, de acuerdos de ayuda mutuos y de mecanismos sincronizados, que permitan la puesta en vigor de la cooperación internacional.
A continuación reseñaremos algunos de otros retos que entendemos deben enfrentar las naciones para combatir su lucha anticrímenes cibernéticos y así proteger toda la infraestructura cibernética que rodea a cada nación.
Reto # 1: Definición
Coincidimos con Vogel (2008) cuando establece: que uno de los retos principales de las naciones que desean combatir los crímenes cibernéticos debe ser el encontrar una definición que explique claramente lo que se considerarían como crímenes cibernéticos. Esa definición legal no debería ser muy amplia y tampoco muy limitada, sino una definición flexible que no se limite a crímenes de computadora o crímenes en Internet.
Ahora bien, de acuerdo al Convenio de Ciberdelincuencia del Consejo de Europa se definió como delitos informáticos (crímenes cibernéticos): “los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos”. Mientras que Revovery Labs indicó que las características principales que presentan los crímenes cibernéticos es que son delitos difíciles de demostrar ya que, en muchos casos, es complicado encontrar las pruebas.
Asimismo, son actos que pueden llevarse a cabo de forma rápida y sencilla. En ocasiones estos delitos pueden cometerse en cuestión de segundos, utilizando sólo una PC y sin estar presente, físicamente, en el lugar de los hechos. Los cibercriminales tienden a proliferar y evolucionar, lo que complica aun más la identificación y persecución de los mismos. Es importante que cada nación este acorde con una definición global sobre el término y actué sobre ella. De esta manera internacionalizamos el concepto y todas las agencias del orden de la ley a nivel mundial hablarán el mismo idioma.
Reto # 2: Juridicción
Los crímenes cibernéticos ocurren en el espacio cibernético, así que suceden en un espacio virtual global. Pero ese justo este carácter global, lo que convierte a este tipos de crímenes en enorme reto para todo sistema judicial, sobre todo en el tema de “¿quién tiene jurisdicción y quién no?. Tal vez la solución sería aplicar un principio de jurisdicción global. Este principio establecería que las naciones deberían ponerse de acuerdo en la forma y los métodos de cómo procesar los diferentes tipos de crímenes cibernéticos.
Tomemos por ejemplo el caso de Caso Frederick Toeben:
La Corte Suprema Federal de Alemania (1999) dictaminó que Toeben podría ser acusado de incitar a la enemistad racial, por el material ofensivo y la negación de las muertes de millones de judíos durante la II Guerra Mundial que había cargado en su página Web.
Toeben podría ser juzgado en una corte alemana por negar en Internet que el Holocausto sucediera, eso si la corte de Australia permitía su extradición. Según el caso, Toeben creó una página Web en un servidor en Australia, en idioma inglés y en donde negaba que el Holocausto hubiese sucedido. El argumento principal que utilizó la Corte Suprema Federal de Alemania fue que el website podía accederse desde Alemania, lugar en donde negar el holocausto constituye un delito, y muchos alemanes neo nazis podían tener acceso al material publicado, factor que los constituía como delito.
Sin embargo para las cortes de Australia la negación del Holocausto no constituía delito alguno. Por otro lado, la cortes australianas indicaban que Toeben debería ser absuelto de cargos ya que el servidor que utilizaba para albergar su website estaba fuera de Alemania. Por lo tanto, quedaba fuera de la jurisdicción del tribunal Alemán. El problema era que la página estaba alojada en un servidor del país de Oceanía.
Otro caso interesante sobre jurisdicción podría ser el caso de los anuncios en Internet de cervezas, a los cuales pueden accederse desde países islámicos, en donde los anuncios de bebidas alcohólicas constituyen una ofensa criminal.
Reto # 3: Investigación
La pregunta inicial bajo este tema debería ser: “¿Cómo se realiza una investigación de crímenes cibernéticos?”. Cabe mencionar que los métodos de investigación de un delito informático son bien diferentes a los métodos de investigación de un crimen físico. Para llevar a cabo una investigación sobre un crimen Web se recurre al análisis forense. El objetivo de un análisis forense es realizar un proceso de búsqueda detallada y minuciosa para reconstruir, a través de todos los medios, el log de acontecimientos que tuvieron lugar desde el mismo instante cuando el sistema estuvo en su estado integro, hasta el momento de detección de un estado comprometedor.
Asimismo, se desataca que esa labor debe ser llevada acabo con máxima cautela y de forma detallada, asegurándose que se conserva toda la data intacta, en la medida que sea posible. También se promueve que se preserve la información contenida en el disco de un sistema comprometido, de forma similar que los investigadores policiales intentan mantener la escena del crimen intacta, hasta que se recogen todas las pruebas posibles.
Cada nación posee su estándar sobre cómo ejecutar las investigaciones en el área de crímenes cibernéticos, por lo que se hace más difícil uniformar los procedimientos de investigación. Por ejemplo, en Europa se le exige a los Internet Service Provider (ISP) que retengan el tráfico de los datos de sus subscriptores por lo menos seis meses. Este tipo de reglamentación ha sido fuertemente debatida por diversas naciones, por entender que esta práctica atenta contra el derecho de la privacidad de los subscriptores.
Reto # 4: Cooperación Internacional
Debido a lo frágil de los espacios virtuales es necesaria la cooperación entre de las naciones para combatir los crímenes cibernéticos. Muchos criminales cibernéticos se aprovechan de la ventaja de que muchos países tienen dificultades para responder adecuadamente a los ataques virtuales. Se sugiere que los acuerdos de cooperación también incluyan acuerdos de extradición.
Reto # 5: Cooperación entre sectores públicos y privados
La cooperación entre sectores públicos y privados representa otro de los grandes retos que enfrenta la lucha contra de los crímenes cibernéticos a nivel mundial. Los sistemas judiciales mundiales dependen mucho de los lazos de cooperación que puedan establecerse entre las industrias privadas para el esclarecimiento de muchos de los delitos en Internet.
En el área de las investigaciones se podrían crear acuerdos de colaboración entre la Academia (universidades) y las diferentes agencias de ley y orden. Esto por que muchos de los peritos expertos en forense son investigadores o catedráticos en algunas universidades reconocidas.
De igual forma, es importante considerar y tomar en cuenta la producción de conocimiento y nuevas tecnologías provenientes de la academia o de grupo de consultores privados en la área de seguridad en informática. Se debe reconocer que sin la participación del sector privado sería imposible la detección de muchos casos de pornografía infantil y el tráfico de humanos. Estos consorcios de colaboración deben darse de forma voluntaria.
Un ejemplo de una colaboración exitosa entre el sector privado y el público fue la llamada Operación Mikado organizada en Alemania en 2006. Durante el año 2004 una estación de televisión Alemana había identificado un sitio Web que ofrecía materiales de pornografía infantil, mediante el pago de $79.99 dólares con pago a tarjeta de crédito o a una cuenta en específico.
Para poder procesar legalmente a las personas que habían comprado el material pornográfico, un fiscal en la corte alemana les solicitó a 14 compañías crediticias de ese país que revisaran todas las transacciones en tarjetas de crédito a partir del 2004, buscando en sus archivos aquellos que habían debitado de sus cuentas la cantidad $79.99 dólares. Las empresas financieras accedieron a cooperar voluntariamente en la revisión de cientos de miles de millones de dólares en transacciones bancarias hasta llegar al número de 322 personas que fueron identificadas y acusadas eventualmente.
Reto # 6: Prevención
Por último la prevención de crímenes cibernéticos se logra mediante la educación al ciudadano sobre temas relacionados a la seguridad informática. El reto mayor para controlar la proliferación de los delitos en informática es crear una cultura de seguridad, tanto en el área laboral como el área personal. El desarrollo de campañas de orientación por parte de los diversos sectores tanto públicos como privados es una herramienta muy poderosa en la lucha anti- crimen cibernético.
Conclusión
Aunque aún falta mucho por hacer y debatir en el área de lucha contra el cibercrimen, es importante mencionar que a nivel mundial se están llevando a cabo intensos debates sobre acuerdos y convenios colaborativos internacionales dirigidos a esta causa. Ejemplo de ellos son el The Convention on Cybercrime (ETS) 185 o el Convenio sobre cibercriminalidad de Budapest, este último es el único acuerdo internacional que cubre todas las áreas relevantes de la legislación sobre ciberdelincuencia (derecho penal, derecho procesal y cooperación internacional) y trata con carácter prioritario una política penal contra el cibercrimen.
Aún con este convenio, muchas naciones necesitan elabora un plan estratégico para luchar contra el delito cibernético que promueva la colaboración de diferentes comunidades y el apoderamiento de los usuarios de las tecnologías emergentes. Este nuevo año podría ser el punto de partida para abrir al debate sobre cómo frenar los crímenes y delitos en internet, sin llegar a los extremos que proponen regulaciones como PIPA y la SOPA.
La Dra. Aury M. Curbelo es consultora y conferenciante internacional en el área de seguridad en informática, cuenta con las acreditaciones de Hacker Ético y Forense. Además es profesora en el área de Sistemas computadorizados de Información. Síguela en twitter: @acurbelo.
Fuente: BSecure