Posts By

admin

Zanubis: El troyano bancario peruano de avanzada peligrosidad

Por: Bianca Reátegui Vega & Ximena Cuba Carbajal

En la era digital, la tecnología es parte esencial de nuestras vidas, por ejemplo,  actualmente solemos realizar transacciones financieras en línea con aplicativos como Yape o Plin. Es debido a ello que la detección y prevención de amenazas digitales es una prioridad constante. En los últimos años, los troyanos bancarios han tomado popularidad -estos son tipos de software, denominados “malware” creados para captar  información financiera y robar datos relacionados con cuentas bancarias-. Este tipo de malware es altamente peligroso debido a su método de operación, pues implica engañar a las personas haciéndoles creer que están interactuando con una entidad financiera legítima mientras en realidad están compartiendo información confidencial con los ciberdelincuentes. En esta línea, recientemente, se ha descubierto un troyano bancario de origen peruano que ha representado una amenaza considerable para la seguridad financiera de los usuarios que cuentan con dispositivos móviles: Zanubis.

Zanubis es un programa malicioso que ingresa a un sistema informático financiero haciéndose pasar por uno legítimo; el fin es hacerse del dinero de las cuentas bancarias que logre acceder. Si bien, desde octubre del 2022, el gobierno peruano a través del informe de Alerta Integrada de Seguridad Digital N° 282-2022-CNSD del Centro Nacional de Seguridad Digital, hizo de conocimiento público la existencia de este troyano bancario; recientemente, ha despertado gran preocupación a nivel mundial y sobretodo en nuestro país, pues viene atacando exponencialmente a diferentes bancas y entidades financieras peruanas. Al día de hoy, según la empresa global de ciberseguridad “Kaspersky”, se conoce que este tipo de troyano ha concretado vulnerar el sistema de cerca de 40 aplicaciones de bancas móviles; además, viene liderando el ranking de intentos de ataques cibernéticos en el Perú.

El modelo empleado para este tipo de amenaza se denomina “mano fantasma”, ya que se trata de aplicaciones maliciosas que ingresan a un sistema Android, y lo controlan por medio de herramientas de acceso remoto (RAT). Dicha técnica es muy parecida a lo utilizado por los troyanos brasileños, por ese motivo, se creyó en un primer momento que se trataba de desarrolladores procedentes del país vecino. Sin embargo, la empresa “Kaspersky”, por medio de un comunicado de prensa de fecha 28 de septiembre del 2023, sugirió que Zanubis es de origen peruano porque además de atacar principalmente bancas móviles peruanas, el idioma que han empleado los creadores es el español, así como, queda evidenciado que cuentan con un gran conocimiento de las jergas y palabras más comunes.

Ahora bien, ¿cómo es que Zanubis podría ingresar a un sistema operativo? Actualmente, se conoce que la táctica de ingreso que tiene este malware, consiste en enviar correos electrónicos haciéndose pasar por la Superintendencia Nacional de Aduanas y de Administración Tributaria, advirtiendo falsamente problemas de pagos o faltas de estas. En esa línea, el mensaje malicioso solicita al usuario presionar un link y que este lo direccione a descargar una supuesta aplicación oficial de dicha entidad, a fin que gestione sus operaciones allí.

Una vez que la aplicación haya sido descargada al teléfono móvil, el ciberdelincuente bancario tendrá un control completo del sistema operativo de dicho dispositivo, controlandolo de manera remota. Ante esto, el atacante buscará no ser detectado, de tal manera que ingresará a las bancas móviles sólo cuando la víctima no esté usando el celular. Tras concretar su propósito, este borrará  cualquier tipo de evidencia que se pudiera haber generado a razón del ataque, de manera que cuando la víctima decida denunciar, ya no cuente con sustentos de lo ocurrido.

Es por lo mencionado que podemos señalar las principales características de Zanubis: en primer lugar, este malware se caracteriza por su capacidad para operar de manera sigilosa en los dispositivos móviles de las víctimas, pues busca evitar la atención de las personas al no mostrar síntomas notorias de infección. Igualmente, es engañoso porque propaga mediante correos electrónicos o mensajes de textos que aparentan ser legítimos, archivos maliciosos que se hacen pasar por documentos relevantes o actualizaciones falsas. Es por ello que este troyano bancario es complejo porque emplea técnicas avanzadas de cifrado para evitar la detección, en otras palabras, su código es complejo de entender, lo que genera dificultad al labor de los analistas de seguridad. Finalmente, cabe destacar que los ciberdelincuentes que emplean este troyano bancario mantienen el malware actualizado para aprovecharse de las personas.

A manera de cierre, les brindamos algunas recomendaciones para prevenir ser engañados con Zanubis.

  1. Evite descargar aplicaciones de fuentes desconocidas o no verificadas, lo ideal sería solo descargar aplicaciones de tiendas oficiales como Google Play o App Store.
  2. Antes de descargar una aplicación, revisar los permisos solicitados por esta. Si una aplicación parece solicitar más permisos de los necesarios para su función, como por ejemplo acceder a tus chats o registro de llamadas, podría ser una señal de alarma.
  3. Al crear una cuenta en alguna aplicación, utiliza una contraseña segura que no contenga datos personales. Por ejemplo, que la contraseña sea larga y contenga números, símbolos y combinaciones de letras mayúsculas y minúsculas.
  4. La concientización es fundamental, es decir, los usuarios deben estar informados sobre las amenazas cibernéticas y la importancia de no hacer clic en enlaces sospechosos o descargar aplicaciones no verificadas.
  5. Instale y  mantenga actualizado un software de seguridad móvil confiable que puede detectar y bloquear amenazas como Zanubis. Una opción es Kaspersky Premium, este software protege tu identidad y evita el acceso remoto a tu sistema.
  6. No haga click en enlaces llegados a correos electrónicos, redes sociales o mensajes SMS sospechosos. Como se mencionó, muchos de estos mensajes se hacen pasar por entidades conocidas, por lo que es recomendable llamar o asistir presencialmente a preguntar sobre la información remitida en los mensajes.

Referencia bibliográfica:

Canal N. (28 de septiembre de 2023). Zanubis: Detectan virus bancario para celulares hecho en Perú. [Video]. Canal N Web.

Centro Nacional de Seguridad Digital. (17 de octubre de 2022). Alerta integrada de seguridad digital N° 282-2022-CNSD.

Exitosas noticias. (29 de septiembre de 2023). Zanubis: detectan virus bancario para celulares hecho en Perú, ¿cómo actúa en dispositivo móvil? [Video]. Youtube.

Kaspersky. (28 de septiembre de 2023). Nueva versión del ataque de la “mano fantasma” acecha a usuarios de la banca móvil: Kaspersky.

Mestanza, C. (2023). Zanubis: detectan troyano bancario para celulares hecho en Perú que es sumamente avanzado y peligroso. El Comercio.

Doxxing: Entre lo legal e ilegal

El doxxing es un término utilizado para describir la acción de desvelar datos personales de una persona en internet, como nombre completo, domicilio o información financiera, los cuales pueden ser utilizados para diversos fines. Estos pueden ir desde bromas, hasta delitos como el acoso, siendo este, su fin más común. Esta práctica surgió en la década de los 90, donde los ciberdelincuentes, mediante prácticas ilegales, revelaban a la generalidad quién era el otro delincuente cibernético con el que tenían una discusión o algún tipo de problema personal, pues en ese tiempo el anonimato aún subsistía en el internet y se buscaba proteger a toda costa.

Aunque originalmente, el doxxing era utilizado entre la comunidad de ciberdelincuentes, necesitando, por tanto, conocimientos en esta área para realizarlo, en los últimos años su práctica se comenzó a expandir a la comunidad en línea en general. Así, hoy en día, ya no necesariamente se necesita tener conocimientos informáticos para “doxxear”, pues lo único que se busca es revelar a la generalidad información, sea privada o no, de alguien en internet.

Así, por ejemplo, se recurren a estrategias como buscar cuentas con un mismo nombre de usuario, en distintas páginas o servicios web, las cuales pueden conducir a las redes sociales personales de la víctima o a la de sus familiares de donde se obtiene la información requerida. Como se podrá apreciar, aquí la información no es privada, ni la manera de obtenerla es ilegal, pues se ha recurrido a una sencilla búsqueda a diversas cuentas públicas que se encuentran enlazadas entre sí por un mismo nombre para obtener información pública contenida en ellas.

También, se puede obtener información personal de los diversos registros públicos que maneja el Estado, como, por ejemplo, del padrón electoral o del RENIEC en general. Para acceder a estos, páginas como “DNI Perú” o “BuscaPersonas”, pueden facilitar, como su nombre lo indica, el DNI de una persona, contando solo con su nombre y apellidos. De esa manera, con toda esa información recopilada, se pueden acceder, por ejemplo, a datos de seguros u otros datos personales que pueden llegar hasta revelar el domicilio de la persona y de sus allegados. Cabe mencionar que, las páginas utilizadas en esta estrategia tampoco son ilegales.

Por otro lado, también se puede “doxxear” a personas jurídicas. Una de las maneras de realizarlo, es revelar, mediante una búsqueda WHOIS, completamente lícita, quien es la persona propietaria del dominio de la página web de, por ejemplo, una empresa, si es que no se ha ocultado su información personal. Otra, es realizando búsquedas a través de plataformas como LinkedIn para encontrar a sus trabajadores, principalmente directivos, ya sea para insultarlos, acosarlos o para revelar información personal que pueda desacreditar a la empresa.

Se debe mencionar que la finalidad del doxxing no es solo revelar la identidad y datos de una persona, natural o jurídica, al público en general sin consentimiento de la víctima. Si no que el doxxing tiene un componente altamente subjetivo, pues busca atacar de la manera más personal posible al individuo con el que se tiene un desacuerdo. Si bien lo anterior puede constreñirse al nivel de una disputa personal, el problema surge cuando la generalidad también tiene un desacuerdo o problema, a veces muy grave, con la persona “doxxeada”. Ya que, el perjuicio causado al revelar su información personal escala a dimensiones tales como que la víctima, y a veces sus allegados, reciban insultos o amenazas en masa en sus redes personales o a veces hasta presencialmente.

Es así que la alta subjetividad con la que se “doxxea” es también su aspecto más peligroso, pues puede causar que, por los sentimientos de animadversión de la generalidad, personas inocentes sean atacadas sin razón alguna. Un ejemplo de esto, se dio en el atentado contra la maratón de Boston del año 2013, donde la comunidad, evidentemente afectada por el suceso, empezó a investigar a cada uno de los presentes, dando con un supuesto sospechoso de nombre Sunil Tripathi. Acto seguido, su información fue publicada en diversas redes sociales, acusándolo de ser el responsable del atentado, incluso en canales de televisión. Sin embargo, no era el responsable, es más se encontraba desaparecido y con su familia buscándolo. Finalmente, al encontrarse los verdaderos responsables, los usuarios que habían contribuido en esta supuesta investigación, se disculparon mediante redes con la familia de Sunil, por todo el perjuicio causado.

Así pues, surgen varias interrogantes sobre el “doxxing”, como si debería tener alguna respuesta por parte del ordenamiento. Esto, si bien es cierto, se puede responder afirmativamente si se viola información privada, se debe tomar en cuenta que la mayoría de las veces se accede a información pública de la persona “doxxeada”, a través de una búsqueda completamente legal. Entonces, podríamos llegar a pensar que de ser este el caso, la víctima de un “doxxeo”, puede incurrir en una autopuesta en riesgo, siempre y cuando no haya tomado precauciones al momento de subir su información y conozca que implica subir sus datos personales al Internet. Del lado contrario, podríamos sostener que “doxxear” podría ser un acto preparatorio, para la realización, de otras conductas, ahora sí, punibles como el acoso.

Otra opción, la encontramos en el artículo 154 de nuestro Código Penal, que nos dice lo siguiente:

El que viola la intimidad de la vida personal o familiar ya sea observando, escuchando o registrando un hecho, palabra, escrito o imagen, valiéndose de instrumentos, procesos técnicos u otros medios, será reprimido con pena privativa de libertad no mayor de dos años.

La pena será no menor de uno ni mayor de tres años y de treinta a ciento veinte días-multa, cuando el agente revela la intimidad conocida de la manera antes prevista.

Sin embargo, para aplicar dicho artículo debemos dilucidar cuestiones como la privacidad en internet y el uso de datos personales en línea, que, por cuestiones de espacio nos es imposible abordar en el presente artículo. Sin perjuicio de ello, es importante mencionar que hoy más que nunca es importante guardar precaución con toda la información personal que proporcionamos internet. Así, si sientes que tu privacidad en línea ha sido vulnerada, no dudes en acudir a las autoridades competentes en ciberdelincuencia o acercarte a algunas de las iniciativas nacionales como “Hiperderecho”.

Vulneran cuentas de ATV en YouTube

Por: Ricardo Elías Puelles

En vísperas de San Valentín, el canal de televisión ATV difundió el siguiente comunicado en su cuenta oficial de Facebook:

A nuestra audiencia:

Les informamos que nuestras cuentas de Youtube han sido vulneradas. Alertamos a la ciudadanía a no dejarse sorprender por personas inescrupulosas. Estamos trabajando para solucionarlo y tomaremos las acciones legales que correspondan.

Agradecemos su apoyo y comprensión.

Al visitar dos de sus canales en YouTube, se puede comprender la magnitud del impacto:

·      ATV Noticias: 884 mil suscriptores.

·      Magaly ATV: 1.05 millones de suscriptores.

1.    ¿Qué sucedió?

Según la información difundida por la conductora Magaly Medina y en diferentes plataformas, ciberdelincuentes -que no es lo mismo que hackers- (1) accedieron ilegalmente a las cuentas en YouTube, (2) modificaron el nombre de cada cuenta por “Tesla Live”, (3) eliminaron los vídeos que tenían alojados, así como sus listas de reproducción, (4) desactivaron los comentarios, (5) compartieron un enlace para “invertir” en criptomonedas y (6) subieron vídeos en vivo para promocionar la supuesta inversión -que, en realidad, es una estafa-.

2.    ¿Cómo consiguieron vulnerar los canales de YouTube?

Lo que sucedió con las cuentas de ATV es un tipo de ataque bastante conocido y nada novedoso. A continuación, señalaré algunos escenarios que pudieron ocurrir:

2.1 Los ciberdelincuentes enviaron una dirección o URL maliciosa, por ejemplo, a través de un correo. Al darle “click”, la víctima es redirigida a una página falsa donde ingresa su usuario y contraseña. Con estos datos, el atacante asume el control de la cuenta.

2.2 Los ciberdelincuentes infectaron a la víctima con un malware que les permite acceder en tiempo real al ordenador, grabar las pulsaciones de las teclas, encender la cámara web, entre otras acciones.

Los cibercriminales emplean, por lo general, diferentes tipos de ataques de ingeniería social para obtener información confidencial. Avast resume algunas modalidades a las que estamos expuestos -y que en una próxima entrada analizaremos a detalle-: phishing, spear phishing, vishing, smishing, whaling, baiting, scareware, pretexting, honey trap.

3.    ¿Qué debo hacer si soy víctima de un ataque informático?

En primer lugar, mantén la calma. Los ciberdelincuentes aprovechan la ansiedad que genera perder el acceso a una cuenta con miles o millones de seguidores para exigir pagos que no resolverán nada.

En segundo lugar, comunícate con el equipo de respuesta de la plataforma o el soporte técnico. Si conoces algún especialista que pueda asesorarte en estos pasos, mucho mejor. El tiempo es muy valioso.

 En tercer lugar, denuncia lo sucedido. El caso que hemos descrito podría suponer, cuando menos, algunos delitos: acceso ilícito (art. 2 de la Ley de Delitos Informáticos), atentado contra la integridad de sistemas informáticos (art. 4 de la LDI), fraude informático (art. 8 de la LDI), estafa (art. 196 del Código Penal).

En cuarto lugar, asesórate por un especialista en la materia ya que no basta conocer la legislación penal sino cómo investigar un caso en entornos digitales. Dependiendo dónde ocurrió el evento, el hecho puede ser denunciardo en la fiscalía especializado en cibercrimen o en la DIVINDAT -División de Investigación de Delitos de Alta Tecnología-. En Perú, además, existen instituciones privadas como nuestro estudio o el Observatorio Peruano de Cibercriminalidad que podrían orientarte o ejercer tu defensa. Lo importante es que el caso no quede impune.

Un acercamiento al delito de child grooming

Por: Rubén Vela y Romina Alarcón

Esta es la primera entrega de una serie de entradas enfocadas en abordar el fenómeno del child grooming. Es preciso tener en cuenta que la progresiva virtualidad de las relaciones sociales implica cambios en el entramado social, incluso las modalidades delictivas que usualmente ocurrían en un espacio físico, ahora se practican en redes sociales, juegos online, foros, entre otros, resultando un incremento exponencial de espacios donde se comenten abusos, tal como explicaremos a continuación. 

 1. Introducción al problema

La tecnología se ha vuelto una de las herramientas de mayor funcionalidad, pues nos permite desenvolvernos en distintos aspectos en el día a día. Sin embargo, su fácil acceso, libertad de uso y anonimato la han convertido en un medio para facilitar la comisión de distintos delitos, como lo es el child grooming.

Su denominación proviene de la palabra “grooming”, del verbo en inglés “to groom”, el cual significa preparar a alguien para conseguir un fin determinado (Miró Llinares, 2012, p. 97). En ese sentido, bajo este término encajarán aquellas conductas preparatorias realizadas por un abusador para lograr el encuentro sexual con la potencial víctima y que, en este caso, será un menor de edad.

La realidad criminológica ha evidenciado la necesaria y adecuada redacción de este tipo penal, siendo que estudios han concluido que el uso de las tecnologías de la información y la comunicación han implicado un incremento exponencial de conductas de victimización sexual online de menores con la llegada de la era digital (Villacampa, 2016; Hughes, 2002).

Es por lo expuesto que es imprescindible comprender que el grooming es un proceso gradual y que no se da intempestivamente, pues el groomer (acosador) buscará establecer previamente una relación de confianza con el menor de edad, ya sea mediante una enmascarada amistad o un falso romance (Díaz Cortés, 2012). La complejidad de aquel tipo radicará en que, progresivamente, mediante aquella relación el groomer buscará proponer al menor llevar a cabo actos de connotación sexual, vulnerando así el bien jurídico indemnidad / libertad sexual.

2. Regulación 

En cuanto a nuestra actual legislación penal sobre la materia, el child grooming se encuentra tipificado en leyes distintas. En primer lugar, se tiene al Código Penal peruano, que en su artículo 183-B regula este tipo penal bajo la denominación de “Proposiciones a niños, niñas y adolescentes con fines sexuales”. Y, en segundo lugar, la Ley de Delitos Informáticos – Ley No. 30096[1] (en adelante, LDI), que en su artículo 5 regula el delito de “Proposiciones a niños, niñas y adolescentes con fines sexuales por medios tecnológicos”.

Si bien sus redacciones encuentran ciertas similitudes, el artículo 183-B del Código Penal[2] es denominado como child grooming off-line o fuera de línea. En contraposición, el artículo 5 de la LDI si bien regula el mismo supuesto, especifica que éste deberá cometerse a través de medios tecnológicos (online). 

Así, es preciso señalar la importancia de identificar en qué supuesto nos encontramos, pues ello permitirá determinar qué delito se va a investigar y, de ser el caso, conocer qué tipo de Fiscalía será la competente para dirigir las indagaciones.

Bajo ese propósito, y con fines didácticos, se desarrollarán los elementos típicos de ambas modalidades delictivas.

2.1. Child grooming online

La modalidad de child grooming online, es decir, aquella que se consuma mediante el uso de las tecnologías de la información o de la comunicación, se encuentra prevista y sancionada en la LDI:

Artículo 5 LDI.- Proposiciones a niños, niñas y adolescentes con fines sexuales por medios tecnológicos: El que, a través de las tecnologías de la información o de la comunicación, contacta con un menor de catorce años para solicitar u obtener de él material pornográfico, o para llevar a cabo actividades sexuales con él, será reprimido con pena privativa de libertad no menor de cuatro ni mayor de ocho años e inhabilitación conforme a los numerales 1, 2 y 4 del artículo 36 del Código Penal.

Cuando la víctima tiene entre catorce y menos de dieciocho años de edad y medie engaño, la pena será no menor de tres ni mayor de seis años e inhabilitación conforme a los numerales 1, 2 y 4 del artículo 36 del Código Penal.

Cabe precisar que en la mencionada ley se indica que estaría dentro de los delitos informáticos contra la indemnidad y libertad sexual, indicando así cuál es el bien jurídico protegido por el legislador.

2.2. Child grooming off-line

Tiempo después de promulgada la LDI, el legislador incorporó dentro de los denominados delitos contra el pudor, el siguiente tipo penal:

Artículo 183-B CP.- Proposiciones a niños, niñas y adolescentes con fines sexuales: El que contacta con un menor de catorce años para solicitar u obtener de él material pornográfico, o para proponerle llevar a cabo cualquier acto de connotación sexual con él o con tercero, será reprimido con pena privativa de libertad no menor de seis ni mayor de nueve años.

Cuando la víctima tiene entre catorce y menos de dieciocho años, y medie engaño, la pena será no menor de tres ni mayor de seis años.

En todos los casos se impone, además, la pena de inhabilitación conforme al artículo 36, incisos 1, 2, 3, 4, 5, 6, 8, 9, 10 y 11.

Como vemos a partir de los artículos citados, se regulan supuestos de hecho muy similares. La principal diferencia, a nivel de tipicidad objetiva, se encuentra en la precisión realizada por la LDI, dado que indica que la sanción recae únicamente sobre la conducta que se cometa a través de tecnologías de la información y comunicación. Otra diferencia se encuentra en la pena prevista en el primer párrafo del artículo 183-b CP ya que es mayor a la modaldad recogida en la LDI. 

Lamentablemente, la regulación actual implica que se produzcan supuestos de hecho similares que generen confusión en cuanto a la subsunción y, en consecuencia, problemas sobre qué fiscalía es la llamada a investigar un evento delictivo. Esto, además, puede vulnerar el derecho a la tutela jurisdiccional efectiva debido a las dilaciones en la definición de la competencia para investigar.

 Actualmente no existe desarrollo jurisprudencial que dirima los supuestos concretos de cada conducta típica o cómo proceder si estamos frente a un concurso entre las modalidades offline y online. Consideramos urgente se resuelvan estos problemas con el fin de evitar dilaciones u otras vulneraciones a la tutela jurisdiccional, priorizando la debida diligencia en la persecución del delito, más aún en delitos informáticos donde prima lo efímero de la fuente de prueba.

3. Fuentes de información:

Díaz Cortés, Lina (2012). El denominado “Child Grooming” del artículo 183 Bis del Código Penal: una aproximación a su estudio”. Ministerio de Justicia de España. Año LXVI. Número 2138, pp.1-30.

Hughes, D.M. (2002). The use of New Communications and Information Techonologies for Sexual Exploitation of Women and Children. Hastings Women’s Law Journal, 13, 127-146.

Miró, F. (2012). El cibercrimen. Fenomenología y criminología de la delincuencia en el ciberespacio. Marcial Pons Ediciones Jurídicas y Sociales S.A.

Villacampa Estiarte, Carolina & Gómez Adillón María Jesús (2016). Nuevas tecnologías y victimización sexual de menores por online grooming. Revista Electrónica de Ciencia Penal y Criminología.

Tocamientos indebidos… ¿En el ciberespacio

En estos últimos años, el universo virtual de realidad aumentada de Facebook, al que se accede a través de un avatar virtual para realizar todo tipo de actividades y conectarse con todo tipo de personas, Metaverso, ha ganado gran popularidad. Lo anterior, pues se accede a él a través de lentes de realidad virtual y demás instrumentos especialmente diseñados para que todo lo que suceda en dicho entorno virtual, parezca real. Es decir, para lograr que lo que experimente el avatar, lo haga también la persona que lo controla, como lo visto en la famosa película Ready Player One.

Sin embargo, con dicha innovación, también se dieron lamentables incidentes. Fue así que Nina Jane Patel, empresaria británica y usuaria del Metaverso, fue víctima de una emboscada, donde cuatro avatares masculinos empezaron a manosear al suyo y tomarle fotos. Ante esto, se quitó las gafas, aunque consiguió escuchar que le decían: “no hagas que no te gusto” o “por eso estas aquí”, frases de abuso muy conocidas que se dan en incidentes similares.

Desafortunadamente, lo anterior, no es una situación nueva en los universos virtuales, pues uno de similar funcionamiento al Metaverso, VR Chat que lleva funcionando desde 2014, registra ataques mucho peores. Así lo cuenta la investigadora Jess Sherwood, quien se hizo pasar por una niña de 13 años para una indagación de la BBC en dicho entorno virtual. Ahí, pudo presenciar que no existen filtros para la interacción entre avatares de menores y mayores de edad. Así, comenta que avatares de adultos, creyendo que era una niña, le ordenaban mantener encuentros sexuales en la plataforma. Esto es especialmente traumático para las personas que los experimentan, por el alto grado de inmersión que tienen dichas plataformas. Ya que, muchas veces deben realizar ellas mismas los movimientos de carácter sexual para que lo haga su avatar, resultando en que el encuentro no deseado, y sus consecuencias, se sienta real.

Lo anterior, no es más que la evolución de una conducta que se ha venido dando, y continúa dándose, desde el inicio de estos espacios virtuales. En ese sentido, la mayoría de estos casos se presentan en entornos virtuales o videojuegos menos avanzados, como Habbo Hotel, una plataforma del año 2000, donde se realizan propuestas reiterativas, incluso a menores de edad, para que activen su webcam y enseñen sus partes íntimas.

En Perú, las iniciativas legislativas como la ley 30096 o la ley 30170, se centran en medios de contacto electrónicos en general, como WhatsApp, Facebook, Instagram o en general la internet. Asimismo, en el año 2018, con el Decreto Legislativo N°1410, se empezó a perseguir el acoso con mayor intensidad en medios virtuales, dando como resultado la primera sentencia por ese tipo en 2019 (Exp. 0958-2019-4-0901-JR-PE-07).

Con este marco normativo, junto con el delito contenido en el artículo 176-B del Código Penal, podríamos decir que contamos con las herramientas suficientes para combatir delitos como el acoso sexual incluso en espacios virtuales de realidad aumentada. Sin embargo, con el avance de las nuevas tecnologías, surge la interrogante de cómo tratar casos como el de Nina Patel. Casos que, sirviéndose de las nuevas tecnologías, van más allá del hostigamiento y, aprovechándose de la inmersión y el realismo hacen que la víctima, experimente un contacto mas cercano con el victimario.

Es decir, parece ser, que el riesgo generado para la integridad de la víctima, por una interacción de ese tipo, se acerca más al del delito de tocamientos, actos de connotación sexual o actos libidinosos sin consentimiento, del artículo 176 del Código Penal, cuyo texto indica lo siguiente:

El que sin propósito de tener acceso carnal regulado por el artículo 170, realiza sobre una persona, sin su libre consentimiento, tocamientos, actos de connotación sexual o actos libidinosos, en sus partes íntimas o en cualquier parte de su cuerpo será reprimido con pena privativa de libertad no menor de tres ni mayor de seis años.

Si el agente realiza la conducta descrita en el primer párrafo, mediante amenaza, violencia, o aprovechándose de un entorno de coacción o de cualquier otro que impida a la víctima dar su libre consentimiento, o valiéndose de cualquiera de estos medios obliga a la víctima a realizarlos sobre el agente, sobre sí misma o sobre tercero […].

Como se puede advertir, el citado delito no contiene mención alguna a lo desarrollado aquí, mas que nada por la novedad de las situaciones descritas. Sin embargo, resulta innegable que esta problemática, con la expansión de los mundos virtuales de realidad aumentada, ha llegado para quedarse.

Así pues, analizar el impacto que tienen estas conductas sobre las personas que las sufren, con un enfoque vanguardista que permita medir el riesgo real y no solo se quede en la diferencia entre contacto físico y virtual. Resulta indispensable para entender a cabalidad y poder responder ante estas nuevas formas, aunque con similar o mayor riesgo, de afectar la integridad de las personas.

Sin perjuicio de lo anterior, recuerda que, si eres víctima de algún delito de connotación sexual en el ciberespacio, cuentas con policías, fiscales e instituciones que te ayudarán en la investigación del hecho, así como un marco normativo que, pese a algunas falencias, permite investigar y sancionar al responsable. Así como también, con los servicios especializados en temas de cibercrimen, como este, del estudio Elías Puelles a tu disposición.

Irás a un concierto, pero ¿temes ser estafado?

En los últimos meses, han visitado nuestro país diferentes artistas como Daddy Yankee, Bad Bunny o Coldplay para llevar a cabo sus conciertos. Sin embargo, hemos podido ver en diversas noticias que miles de personas no pudieron ingresar al local del evento porque fueron estafadas por los conocidos ”revendedores”. Así, en algunos casos, sus entradas eran falsas o, en otros, vendieron la misma entrada verdadera a cientos de personas. Una característica de estas estafas es que la mayoría de ellas se producen mediante plataformas en internet y redes sociales, por lo que las víctimas, muchas veces, ni siquiera conocen la verdadera identidad de quien los estafó y no saben cómo realizar la denuncia.

Cabe señalar que durante el mes de febrero, se realizarán algunos conciertos, uno de estos es el de Romeo Santos -incluso, son 4 fechas programadas en nuestro país y una de ellas fue el 14 de febrero-. Pero, ¿sabes cómo evitar ser estafado? No te conviertas en la próxima víctima en San Valentín y aprende más sobre este delito.

En principio, la estafa es un delito que está estipulado en el art. 196 del Código Penal. En este se sanciona a quien estafa mediante engaño, astucia u otra forma fraudulenta, con pena privativa de libertad no menor de uno ni mayor de seis años. En este sentido, se puede denunciar porque una persona ha pagado o transferido un monto de dinero por su entrada, pero esta ha sido engañada por el vendedor. Cabe recalcar que si existe pluralidad de víctimas -como es el caso de Pamela Cabanillas, quien se hizo conocida por presuntamente estafar a más de 7 mil personas en el concierto de Daddy Yankee-, nos encontramos frente a un supuesto de estafa agravada. Para este delito la pena será privativa de libertad no menor de cuatro ni mayor de ocho años y con noventa a doscientos días-multa.

Adicionalmente, se puede denunciar por falsificación de documentos, ya que si te venden entradas falsas, se comete un delito contra la fe pública, el cual se encuentra previsto en el art. 427 CP. Este delito sanciona a las personas que hacen, en todo o en parte, un documento falso o, incluso, que adulteran uno verdadero como es el caso de entradas para eventos. No obstante, sabemos que por la pandemia las entradas para la mayoría de eventos solo se venden de manera virtual, por lo que se adquiere un documento electrónico con un código QR. Ante esto, se ha podido notar que los revendedores se han encargado de copiar estos códigos para vender más entradas y no es, hasta el día del concierto, que uno se da cuenta que ha sido estafado. Pero, ¿estos códigos QR repetidos implican la falsificación de documentos? De ac

En los últimos meses, han visitado nuestro país diferentes artistas como Daddy Yankee, Bad Bunny o Coldplay para llevar a cabo sus conciertos. Sin embargo, hemos podido ver en diversas noticias que miles de personas no pudieron ingresar al local del evento porque fueron estafadas por los conocidos ”revendedores”. Así, en algunos casos, sus entradas eran falsas o, en otros, vendieron la misma entrada verdadera a cientos de personas. Una característica de estas estafas es que la mayoría de ellas se producen mediante plataformas en internet y redes sociales, por lo que las víctimas, muchas veces, ni siquiera conocen la verdadera identidad de quien los estafó y no saben cómo realizar la denuncia.

Cabe señalar que durante el mes de febrero, se realizarán algunos conciertos, uno de estos es el de Romeo Santos -incluso, son 4 fechas programadas en nuestro país y una de ellas fue el 14 de febrero-. Pero, ¿sabes cómo evitar ser estafado? No te conviertas en la próxima víctima en San Valentín y aprende más sobre este delito.

En principio, la estafa es un delito que está estipulado en el art. 196 del Código Penal. En este se sanciona a quien estafa mediante engaño, astucia u otra forma fraudulenta, con pena privativa de libertad no menor de uno ni mayor de seis años. En este sentido, se puede denunciar porque una persona ha pagado o transferido un monto de dinero por su entrada, pero esta ha sido engañada por el vendedor. Cabe recalcar que si existe pluralidad de víctimas -como es el caso de Pamela Cabanillas, quien se hizo conocida por presuntamente estafar a más de 7 mil personas en el concierto de Daddy Yankee-, nos encontramos frente a un supuesto de estafa agravada. Para este delito la pena será privativa de libertad no menor de cuatro ni mayor de ocho años y con noventa a doscientos días-multa.

Adicionalmente, se puede denunciar por falsificación de documentos, ya que si te venden entradas falsas, se comete un delito contra la fe pública, el cual se encuentra previsto en el art. 427 CP. Este delito sanciona a las personas que hacen, en todo o en parte, un documento falso o, incluso, que adulteran uno verdadero como es el caso de entradas para eventos. No obstante, sabemos que por la pandemia las entradas para la mayoría de eventos solo se venden de manera virtual, por lo que se adquiere un documento electrónico con un código QR. Ante esto, se ha podido notar que los revendedores se han encargado de copiar estos códigos para vender más entradas y no es, hasta el día del concierto, que uno se da cuenta que ha sido estafado. Pero, ¿estos códigos QR repetidos implican la falsificación de documentos? De acuerdo con la profesora Rommy Chang (2022), esto sería un delito de falsedad genérica (art. 438 CP) -delito residual que sanciona cualquier engaño que pueda causar perjuicio-.

Es importante mencionar que se debe realizar la denuncia respectiva ante la Policía o la Fiscalía. Muchas personas no la realizan porque consideran que no tienen las pruebas suficientes o que no recuperarán el dinero que se perdió. No obstante, las capturas de pantalla de conversaciones (screenshot), depósitos y el registro de las llamadas telefónicas son pruebas que se deben presentar ya que son muy útiles y permitirán avanzar con la investigación. Esto debido a que la Fiscalía puede solicitar información a los bancos, compañías de teléfono y redes sociales para ubicar a la persona que cometió el delito. Igualmente, si el estafador es condenado, se podrá recuperar el dinero perdido más una eventual indemnización.

Finalmente, ESET (2022), compañía de software especializada en ciberseguridad, recomienda no publicar sus entradas una vez compradas en las redes sociales como prueba de su existencia. El problema de la compra a revendedores de entradas radica en que no te brindan las garantías suficientes de compra, por lo tanto, se debería usar una plataforma segura de ventas de entradas como es la que brindan los organizadores del evento para realizar sus ventas. También, se recomienda buscar información sobre el vendedor, evitar las plataformas no confiables y prestar suma atención a todas las condiciones de servicio, envío y políticas de devolución.

Unidad Fiscal Especializada en Ciberdelincuencia del Ministerio Público. Tercera Parte

El 24 de febrero del 2021, participé en una entrevista organizada por el Taller Magister Juris -la cual comparto en esta entrada-. En ella platicamos sobre diferentes temas como la evolución de la delincuencia cometida a través de entornos digitales y las funciones de la Unidad Especializada en Cibercriminalidad del Ministerio Público. Agradezco la invitación y el interés de los asistentes.

En esta entrada continuaré analizando la importancia de las funciones de dicha Unidad: 

1. Coordinar con las áreas afines para analizar y valorar datos estadísticos de los delitos de la Ley 30096, Ley de Delitos Informáticos, estafa agravada prevista en el inciso 5 del artículo 196-A del Código Penal, y aquellos casos en los cuales la obtención de prueba digital sea determinante para la investigación con el fin de establecer políticas institucionales que mejoren el trabajo fiscal en la materia.

En el primer semestre del 2020, en el Observatorio Peruano de Cibercriminalidad iniciamos una ardua labor: Solicitamos información estadística sobre el avance de la ciberdelincuencia en el último quinquenio. Fueron meses complicados, pues algunos distritos no nos brindaron la información solicitada y otros contaban con información deficiente -por ejemplo, no tenían los datos actualizados o presentaban problemas de registro-. Finalmente, pudimos acceder a la estadística central con la que contaba el Ministerio Público. Con ello, realizamos el siguiente análisis:

Contar con información detallada nos permite, entre otros: (1) Identificar el problema, pues no basta saber que cada año se registran más denuncias sino conocer el estado de las investigaciones. (2) Adoptar mejores decisiones, por ejemplo, ¿de qué sirve capacitar a los operadores en litigación oral cuando el problema radica en la investigación criminal -los casos no se judicializan-? (3) Identificar los delitos cometidos con más frecuencia para realizar labores de concientización y prevenirlos. (4) Conocer cómo avanza el fenómeno delictivo por cada ciudad peruana, pues en algunas ciudades se cometen con más frecuencia fraudes informáticos, mientras que en otros, child grooming.

En este sentido, la Unidad Fiscal Especializada en Ciberdelincuencia acierta al reconocer la importancia de la estadística en la planificación y lucha contra este flagelo delictivo. A modo de recomendación, sugiero que, además, se analicen las carpetas archivadas para identificar los errores cometidos o conocer las razones que impidieron avanzar en cada caso.

2. Coordinar con las Presidencias de las Juntas de Fiscales Superiores a nivel nacional sobre el apoyo necesario para el debido cumplimiento de las funciones asignadas a la Unidad Fiscal Especializada en Ciberdelincuencia. Esta función es adecuada; sin embargo, debe ser acompañada de reuniones periódicas para identificar los problemas que no se han superado y los objetivos trazados. Además, el integrante distrital de la Red Especializada debe tener un rol activo y ser el puente de enlace entre la Unidad a la que pertenece y su Presidencia.

3. Coordinar con los organismos estatales y privados afines a la materia de ciberdelincuencia. Esta es una labor muy importante pues se necesita centralizar todo tipo de coordinaciones a nivel institucional para mejorar el tiempo y la calidad de respuesta en las investigaciones criminales. Un ejemplo de trabajo coordinado es la Guía práctica para requerir información a proveedores internacionales de servicios de internet, diseñada por la Unidad de Cooperación Judicial Internacional y Extradiciones del Ministerio Público. En ella se explica cómo requerir información a Facebook, Instagram, WhatsApp, Uber, OLX, Microsoft, Airbnb, Paypal, Snapchat, Dropbox, Yahoo y Netflix.

Unidad Fiscal Especializada en Cirberdelincuencia del Ministerio Público. Segunda parte

«Ricardo, ¿es cierto que las fiscalías de cibercrimen no investigan cibercrimen?» -me preguntó una muy querida amiga esta semana-. La respuesta es sí -por el momento-. En una entrada anteriorcomenté sus tres primeras funciones. Hoy analizaremos tres más.

1. Elaborar directivas, lineamientos, instructivos, guías u otros, en el ámbito de su competencia, que orienten las investigaciones de las Fiscalías Especializadas en Ciberdelincuencia o los fiscales que se nombren para esta finalidad de los distritos fiscales a nivel nacional. ¿Cómo diseñar la teoría del caso para investigar un fraude informático o un atentado contra la integridad de los sistemas informáticos? Nos encontramos en un proceso de aprendizaje en el que los fiscales necesitan orientación y guía para conducir este tipo de investigaciones; sin embargo, esto no quiere decir que los lineamientos están escritos en piedra pues los fiscales -poco a poco- irán definiendo sus propias metodologías de investigación. Por ejemplo, no es lo mismo indagar sobre child grooming cometido a través de Facebook que a través de un juego on line. Claro, habrán puntos comunes, pero otros tantos que los distinguen.

2. Coordinar con la Oficina de Peritajes el adecuado y eficiente trabajo para el debido cumplimiento de las funciones asignadas a la Unidad Fiscal Especializada en Ciberdelincuencia. En setiembre del 2019, en una de las puertas de la DIVINDAT encontré la siguiente imagen:

Como vemos, hacia fines del 2019, para la extracción de información de dispositivos electrónicos se requería casi un año (279 días) y para el análisis de la información, 83 días. Si tomamos en consideración los plazos de las diligencias preliminares -en casos comunes y complejos-, el éxito de la investigación devenía en utópico. Este anuncio, colgado en una de las puertas de la DIVINDAT, terminaba con el siguiente mensaje: «Se sugiere muy respetuosamente que los requerimientos muy urgentes sean derivados para ser atendidos por el Área de Alta Tecnología del Ministerio Público«. De ahí que se necesite que la Unidad Fiscal Especializada mejore la coordinación con las oficinas de peritaje -sean de la Policía o del Ministerio Público-.

3. Promover la articulación entre el Ministerio Público y la Policía Nacional, con el fin de hacer más eficiente el modelo de coordinación funcional y la dirección efectiva de la investigación fiscal en la materia. Este es un punto central pues no todas las ciudades de Perú cuentan con una unidad policial especializada en la investigación del cibercrimen. Lamentablemente, entre la presentación de la denuncia, la disposición fiscal de abrir investigación preliminar y el inicio de la investigación policial pueden transcurrir meses. En este tiempo, valiosa información se puede perder. Por eso es tan importante mejorar los niveles de comunicación: ¿Por qué esperar que se envíe físicamente la disposición fiscal a la unidad policial cuando puede enviarse digitalmente -por correo o mensaje-? La Unidad Fiscal Especializada tiene un reto muy importante pues deberá mejorar la comunicación que existe no sólo con la DIVINDAT sino con cualquier unidad policial que pueda conocer casos de cibercrimen.

Espero que encuentren útiles estas reflexiones y no olviden comentar esta publicación pues el intercambio de ideas y experiencias es sumamente útil y enriquecedor.

UNIDAD FISCAL ESPECIALIZADA EN CIBERDELINCUENCIA DEL MINISTERIO PÚBLICO. PRIMERA PARTE.

En el 2012, aproximadamente, una gran amiga mía de la universidad fue víctima de suplantación de identidad: Utilizaron sus fotografías para crear un perfil falso en diversas redes sociales, contactar mujeres y realizar intercambio de imágenes y videos íntimos. Luego, exigían dinero para no difundirlos. Denunciamos lo sucedido.

Recuerdo haberme entrevistado con la fiscal a cargo y haberle explicado con lujo de detalles lo que estaba sucediendo. Para mí, dada la cantidad de víctimas que encontramos, era un caso importante y debía ser investigado a profundidad. La fiscal no pensó lo mismo. Dos preguntas así lo demostrarían: ¿Qué es “eso” de Facebook? y ¿por qué denunciamos y no querellamos por difamación? En ese momento supe que no sería una labor fácil. De un lado, tendría que luchar contra lo difícil que era obtener información de las redes sociales utilizadas, y, de otro, reducir la brecha de conocimientos especializados. Si bien esto ocurrió hace casi diez años y, hoy en día, todos estamos familiarizados con dicha red social, el mundo tecnológico avanza tan rápidamente que es difícil seguirle el paso.

En “Luces y sombras en la lucha contra la delincuencia informática en el Perú” (2014), advertí la necesidad de capacitar a jueces y fiscales y que algunos países de la región, incluso, ya contaban con unidades especializadas en cibercriminalidad. Si bien la División de Investigación de Alta Tecnología de la Policía Nacional de Perú se creó en el 2005, sin fiscales especializados, las investigaciones estaban condenadas al archivo. Ante esta ausencia, entre el 2014 y el 2018, la American Bar Association – Rule of Law Initiative -institución que integré como Trainig Coordinator- ofreció diversos cursos especializados en cibercrimen y prueba digital. Además, publicó el Manual de Evidencia Digital (2017), aprobado por el Ministerio Público y la Policía Nacional del Perú. El objetivo: Sensibilizar a los operadores jurídicos, capacitarlos en la Ley de Delitos Informáticos (2013) y explicar cómo se desarrolla un plan de investigación.

Pese a todos estos esfuerzos, la realidad nos golpeó, pues entre el 2015 y mediados del 2020, sólo pasaron a la siguiente etapa de investigación el 2.13% de fraudes informáticos, el 3.8% de delitos contra datos y sistemas informáticos, y el 0.44% de suplantaciones de identidad.

Hago este recuento para que el lector comprenda cuán necesaria es la Unidad Fiscal Especializada en Ciberdelincuencia del Ministerio Público, creada mediante Resolución de la Fiscalía de la Nación Nº 1503-2020 del 30 de diciembre del 2020 y que inició su funcionamiento el 15 de febrero del 2021. En esta entrada analizaré sus tres primeras funciones:

  1. Brindar acompañamiento técnico a los fiscales en la realización de la investigación en los delitos de la Ley de Delitos Informáticos, estafa agravada prevista (Art. 196-A.5 del Código Penal), y aquellos casos en los cuales la obtención de prueba digital sea determinante para la investigación. Esta función es importante por dos motivos: (1) Reconoce que la cibercriminalidad no se limita a los ilícitos recogidos en la Ley de Delitos Informáticos y (2) Advierte que existirán casos donde no se investigue un cibercrimen, pero la obtención de la prueba digital sea importante -pensemos en un caso de corrupción, en el que se necesite “allanar la nube”-.
  2. Celebrar reuniones periódicas de trabajo con los fiscales integrantes de la “Red de fiscales en ciberdelincuencia a nivel nacional”. El lector debe saber que no tenemos aún fiscales que se dediquen exclusivamente a investigar casos de cibercrimen. La opción adoptada por el Ministerio Público me parece razonable: Establecer puntos de contacto a nivel nacional, para que colaboren con cualquier fiscal penal que conozca un caso vinculado a este fenómeno delictivo. Esto es saludable porque el nivel de incidencia delictiva, a la fecha, no es homogéneo -hay distritos fiscales que en cinco años han recibido apenas una docena de denuncias, bajo la ley de Delitos Informáticos- y otros que han recibido cientos de casos. Concibo esta red como un cuerpo de aprendizaje constructivo y de difusión progresiva. Esto traerá consigo que los fiscales penales, a nivel nacional, adquieran competencias específicas y necesarias para la investigación criminal en entornos digitales.
  3. Unificación de criterios en procedimientos y métodos de investigación en materia de ciberdelincuencia: En el Observatorio Peruano de Cibercriminalidad hemos detectado casos en los que los fiscales tardan más de 200 días para iniciar una indagación o que la única diligencia ordenada es “recibir la declaración del denunciante”. Este tipo de prácticas explican el bajo índice de formalizaciones. Ante este escenario, de manera correcta, la Unidad Especializada unificará criterios y metodologías de investigación con fines pedagógicos; sin embargo, en las capacitaciones debe señalarse que cada caso es distinto y que, en consecuencia, los criterios establecidos no serán rígidos sino únicamente orientativos.

No puedo concluir esta primera entrada sin augurar el éxito de la Unidad Especializada y enviar mis mejores deseos a todos sus integrantes.

LAS MUJERES Y LA LITIGACIÓN. SEAMOS SINCEROS

“¿Por qué pierdes tiempo enseñándole a las mujeres a litigar?, ¿no sabes que su carácter impide que sean buenas litigantes?” Fueron dos de las preguntas más estúpidas impertinentes que me han hecho. Durante cuatro años fui Training Coordinator del American Bar Association – Rule of Law Initiative, capacitando a más de cuatro mil policías, fiscales y jueces en Perú. En una ocasión, entrevisté a un profesor que quería sumarse al equipo de docentes. No recuerdo la fecha pero sí sus preguntas pues resumen lo que veo en la actualidad: Eventos de capacitación en Derecho Penal, Procesal Penal y Litigación Oral donde sus expositores son hombres. Sólo hombres. Los mismos hombres de siempre y que, en algunos casos, lejos de contribuir a mejorar el sistema de administración de justicia, lo distorsionan. Lo contaminan. Lo pervierten. No hace falta decir nombres. No es correcto. 

Perú sigue siendo un país machista, lleno de estereotipos y de prejuicios. Lamentablemente o no nos damos cuenta o, simplemente, lo ignoramos. Le pido al lector que visite algunos portales jurídicos y encontrará lo mismo. Hombres y sólo hombres capacitando. Ese es el problema: La ausencia de mujeres en las capacitaciones. Seamos sinceros, las hemos invisibilizado y esto no es correcto. Claro, en “su día”, todos los hombres cuelgan mensajes de apoyo por aquella lucha que empezó hace muchas décadas y que aún no concluye. Pero, al día siguiente: Más capacitaciones y sí, impartida exclusivamente por hombres.

Los años que pasé en ABA ROLI significaron para mí un proceso de maduración académica y de profunda reflexión. Conocí a profesoras fenomenales que luchan en sus localidades y países contra un sistema penal perverso pero también contra absurdos prejuicios. Ya es suficiente. Luego de algunos días de reflexión contacté a cinco profesoras y buenas amigas. Les planteé organizar un evento: el I Curso On Line Latinoamericano de Litigación Oral. Todas aceptaron y, desde un inicio, mostraron un profundo compromiso con el proyecto.

La plataforma que emplearíamos tenía una capacidad limitada: 100 personas. Dos horas y media bastaron para que recibiéramos 756 registros. Litigantes, jueces y juezas de toda América Latina querían participar. El resultado: un éxito rotundo. Lógico, contábamos con profesoras brillantes.  

Fueron cinco días intensos y después de una semana sigo recibiendo correos de agradecimiento de l@s participantes. Sé que este proyecto continuará y seguiremos demostrando que el “profesor” de las preguntas con las que inicié esta entrada estaba total y absolutamente equivocado.

Si quien está leyendo esto es un / una organizador/a de eventos académicos, caiga en cuenta del gran problema que genera al mantener un status quo que únicamente consolida estereotipos. Comprométete.

Compañeras, su lucha es nuestra lucha.