Ernesto Jimeno.
¿Cómo han evolucionado los ataques cibernéticos en el tiempo?
La evolución de los delitos informáticos tiene relación con medidas de seguridad adicionales, ya que, por ejemplo, en el tema financiero el usuario antiguamente ingresaba a su cuenta con su clave y contraseña. Eso con el tiempo se vulneró y comenzó a primar una tarjeta de coordenadas para realizar transferencias. Sin embargo, los ataques no se detuvieron y se creó la tercera clave de seguridad, que se envía a través de mensaje de texto o teléfono. Lo mismo sucede con los correos electrónicos, ya que hoy existe un mecanismo de doble verificación, que consiste en el envío de un mensaje al correo de la persona cuando este ha sido tratado de vulnerar.
¿Qué delitos o amenazas son las más comunes?
Hoy existe un mecanismo para tomar control de cuentas por “fuerza bruta”, es decir, probar todas las claves que se encuentran en un diccionario de datos. Obviamente que aquí no están todas, ya que las posibilidades de generar claves son inmensas y el usuario puede crear contraseñas alfanuméricas que no tienen ningún sentido lógico. Asimismo, se está utilizando bastante como código malicioso el malware y diferentes versiones de virus para sistemas operativos o de telefonía móvil. En relación a las cuentas de correo, existe mucha estafa (supuestos e-mail de parte de organismos gubernamentales y de seguridad ciudadana), que buscan que el usuario acceda a un link para que descargue una página y así entregue automáticamente sus datos de ID y contraseña.
¿Cuál es el perfil actual del delincuente informático?
Si bien el delincuente informático de antaño atacaba por diversión o por un tema de ego, ya que participaba en teams y solo le interesaba vanagloriarse por los sistemas que había vulnerado -generalmente de empresas de gran renombre u organismos gubernamentales-, hoy lo hace para obtener un beneficio económico. De hecho, esta situación ha generado que personas o empresas vean en los delitos informáticos un negocio y, por tanto, ofrezcan la captura de datos como un servicio externo.
¿Cómo se regula este tema en Chile?
Se regula a través de la Ley de Delitos Informáticos 19.223, la cual es muy genérica y abarca cualquier sistema donde exista tratamiento de datos, incluyendo cuentas de correo electrónico, Dropbox y redes sociales. Esto debido a que la información se considera un activo valorado a nivel mundial y, por tanto, si es trastocada, manipulada o destruida de forma no autorizada es un delito. En este sentido, muchos delincuentes se dedican a robar bases de datos a reconocidas empresas, para posteriormente ofrecérselas a la competencia y así ganar dinero. Cabe destacar que las penas por estos delitos van desde firmas mensuales, trimestrales y trabajos comunitarios, hasta presidio menor en su grado medio a máximo. Pero si el hacker vulnera cuentas para acceder a los contactos, pedirles dinero y es parte de una red, el ilícito se vuelve mucho más grave y cambia la situación procesal.
¿Cuál es el escenario en otros países?
Debido a que hoy existe el convenio internacional sobre cibercriminalidad (Convenio Budapest), que cubre todas las áreas relevantes de la legislación sobre ciberdelincuencia (derecho penal, derecho procesal y cooperación internacional), países como, por ejemplo Argentina, han modificado su legislación para ser parte de este modelo. Y si bien Chile aún no se integra a este convenio, ya se encuentra abriendo mesas de trabajo y grupos especiales para evaluar qué cambios se debieran hacer para ingresar. Otro país que está llevando la delantera en el tema es España, en donde la ley de datos personales obliga a las empresas que administran bases de datos de personas a mantener esa información encriptada. De este modo, si se llega a vulnerar, no se podrá acceder al contenido.
¿Considera que hay una cultura de protección de información en nuestro país?
En Chile no existe conciencia de protección de la información, puesto que la mayoría somos descuidados y no respaldamos nuestros documentos. De hecho, muchas personas almacenan sus fotos o trabajos importantes en un solo computador, y en el caso de las imágenes a veces ni siquiera las bajan de la cámara digital. Y si nos ponemos a pensar, poner una barrera más de seguridad no cuesta nada en comparación a los beneficios que puede traer en caso de robo o pérdida del dispositivo. Además, hay estadísticas que indican que tampoco existe conciencia de seguridad para los teléfonos móviles, ya que las personas no lo consideran relevante. Es más, muchas de ellas ni siquiera tienen noción de que existen antivirus gratuitos y confiables en Internet. Por último, falta una mayor enseñanza sobre la existencia de la Ley de Delitos Informáticos en las carreras de informática, puesto que los profesionales del rubro, muchas veces, desconocen que hay una normativa al respecto y pasan a llevar los artículos.
¿Qué recomendaciones daría en este sentido?
Debido a que el típico error que cometen los usuarios es utilizar la misma clave para todo (correo, cuenta del banco, Facebook, etc), la primera recomendación es que las cambien, ya que de lo contrario facilitamos al delincuente el acceso a la información. En segundo lugar, si todas las cuentas están vinculadas a un e-mail en particular es importante que ese correo este configurado bajo las máximas políticas de seguridad posibles: una pregunta de seguridad difícil de responder y una contraseña alfanumérica (mientras más extensa, mejor).
En el caso de los teléfonos móviles, es fundamental que los protejamos con antivirus, incluso si son iPhone, ya que a diferencia de lo que se piensa, estos también pueden ser vulnerados. Otro error es ocupar sistemas operativos obsoletos que no cuentan con soporte, puesto que están mucho más expuestos; se deben utilizar siempre versiones actualizadas. Finalmente, hay sitios web (sobre todo del rubro financiero) que no están firmados digitalmente, pero de los cuales el explorador avisa mediante una alerta. La recomendación en este caso es no ingresar a esos sitios, ya que lo más probable es que sean falsos.
