Jaime Jara.
¿Qué evolución se observa en el cibercrimen en nuestro país?
Primero debemos precisar lo que entendemos por cibercrimen: la comisión de todo tipo de delitos con el uso de tecnología a través de Internet. Es por eso que podemos hacer una diferenciación entre delitos informáticos, definidos en Chile por la Ley Nº 19.223, que sanciona todo tipo de sabotaje o espionaje informático; y delitos computacionales, que son los que corresponden a un delito común que se materializa con el uso de medios tecnológicos o Internet. Según nuestros datos, desde 2007 a 2011 se aprecia un incremento en las investigaciones realizadas por infracción a la Ley 19.223, número que a la fecha ha disminuido. No obstante, han aumentado las investigaciones por abuso sexual impropio (grooming), almacenamiento de pornografía infantil, amenazas y usurpación de nombre. Asimismo, existen variaciones en algunos delitos como es el caso del mailing, donde el delito inicial corresponde a un acceso indebido, pero como el delincuente envía mensajes a los contactos de la víctima para solicitar dinero, se investiga como estafa y otras defraudaciones. Por lo anterior, podemos concluir con propiedad que existe un constante aumento de los delitos informáticos en general y que este es dinámico porque va cambiando con el tiempo, es decir, el engaño cambia de cara para obtener, principalmente, un beneficio económico.
¿Donde está puesto hoy el foco de los cibercriminales?
Hoy los ciberdelincuentes están enfocados en cometer delitos donde obtengan algún beneficio económico, para lo cual innovan constantemente, surgiendo nuevas figuras delictivas como el data tampering, sextorsion y ransonware, además de continuar con otras antiguas como phishing y pharming, estafas a través de sitios de remate y mailing.
Data tampering consiste en la técnica de los hackers que se enfoca en ubicar vulnerabilidades en los sistemas de pago y transacciones bancarias a través de Internet, pudiendo alterar datos de las cuentas bancarias de las personas afectadas y la cantidad de la transacción a realizar para dirigirlas hacia cuentas de personas que son reclutadas o engañadas para retirarlas. Sextorsion es una técnica que consiste en la seducción de personas a través de las redes sociales. Generalmente se produce cuando un usuario acepta invitaciones de desconocidos donde entabla una conversación o “pololeo virtual”. Luego, la supuesta mujer suele desnudarse a través de la webcam (por lo general son grabaciones previamente obtenidas de Internet) y le pide a la víctima que haga lo mismo. Cuando este accede le señala que es un hacker y que si no envía dinero en dólares a una cuenta extranjera publicará la grabación obtenida en las redes sociales. Se ha determinado que estos hackers son de África, por lo que se prepara a nivel internacional alguna investigación para enfrentar este fenómeno.
Ransonware, en tanto, es un fenómeno que comenzó hace varios años en Europa y que en sus inicios afectaba a personas que navegaban por sitios pornográficos, lo que era detectado por los hackers que crearon un mensaje que bloqueaba el acceso a la pantalla del computador y que simulaba ser de la policía del país del usuario. Se informaba que habían detectado su navegación a través de páginas de pornografía infantil y como era la primera vez que lo sorprendían, solo debía cancelar una multa en euros, entregándole el link para hacer la transacción. Este fue evolucionando, ya que el usuario se dio cuenta que solo era un bloqueo de la pantalla, por lo que ahora los hackers envían un código malicioso que bloquea y encripta el acceso a la información importante del computador, enviando un mensaje de aviso sobre que la información ha sido sustraída y la única forma de recuperarla es haciendo una transacción, ya sea en euros o en bitcoins.
¿Se ven casos de ransonware en Chile a nivel empresarial?
Este año se han realizado solo cuatro investigaciones relacionadas, con diez casos denunciados, donde la mayor cantidad de afectadas son empresas, existiendo solo un antecedente de una firma que recuperó su información pagando tres bitcoins. En estas investigaciones se ha establecido que los ataques provienen del extranjero, especialmente Europa del Este, por lo que es muy difícil perseguir a los autores. Además, es imposible, debido al nivel del cifrado de la información, poder recuperarla. Esta situación está siendo tratada como uno de los temas importantes en las reuniones de Interpol y se diseñan estrategias para combatirla a este nivel. Hago un llamado a denunciar este tipo de delitos con el objeto de determinar su proveniencia y establecer lazos con las policías de los países transgresores, a fin de mitigar este fenómeno delictivo.
A su juicio, ¿la Internet de las Cosas generará un incremento en las amenazas?
Como hemos dicho, cada vez que se va masificando el uso de Internet y que la sociedad va basando el funcionamiento de todo lo relacionado con su entorno a través de la tecnología, existirán personas que verán una oportunidad para lucrar indebidamente, por lo tanto debemos estar atentos para establecer medidas de prevención.
¿Se ha medido el impacto financiero del cibercrimen en Chile?
Es muy difícil medir los impactos económicos que genera el cibercrimen. En nuestro país no se han realizado mediciones de este tipo, pero las pérdidas son importantes. Hoy existen investigaciones del data tampering que afectó a una entidad bancaria defraudada en $600 millones en un día; las clonaciones de tarjetas ocurren durante todo el año en el país; y casi a diario existen denuncias por phishing, mailing o pharming, lo que corrobora que las pérdidas son altas.
¿El factor humano sigue siendo el eslabón más débil?
Cuando se habla de seguridad informática, existe la de los sistemas informáticos, que por lo general son muy seguros, y la seguridad de la cultura informática de las personas que acceden a estos; generalmente los ciberdelincuentes apuntan sus dardos hacia estas.
¿Existe cooperación internacional en la persecución del cibercrimen?
El cibercrimen es una preocupación a nivel mundial, pero no todas las conductas delictivas son tipificadas como delitos en todos los países del mundo, y ahí empiezan las diferencias. Por lo mismo, existen convenios internacionales como el de Ciberdelincuencia de Budapest, que fomentan la sanción de los delitos informáticos y los tipifican claramente.
Nuestro país estudia su adhesión, con lo que se lograría una mayor cooperación internacional en la persecución de los delitos. No obstante, hemos participado en operaciones mundiales de delitos informáticos, como pornografía infantil y de los grupos Anonymus, lo que es posible porque las legislaciones de los países son similares y tenemos la capacidad policial y legal para hacerlo.
Localmente, ¿existen falencias para tipificar este tipo de delitos?
La ley siempre es factible de mejorar, sobre todo en los delitos informáticos, que son muy dinámicos y día a día van apareciendo nuevas conductas. En este sentido, nuestra unidad también ha aportado con ideas nuevas de legislación a los parlamentarios; existen proyectos que serán presentados que sancionarán el fraude informático como tal y no como estafa como hoy. Creemos que la conducta delictiva debe ser sancionada conforme al daño que produce: no es lo mismo vulnerar la cuenta de correo de una persona para conocer sus datos personales, que una base de datos de una entidad bancaria, o efectuar un “deface” de una página de Internet, que vulnerar el sitio de una entidad gubernamental.