Posts Tagged

Cibercrimen

Vulnerabilidades expuestas: Un análisis de los ataques a la cadena de suministro digital

“La conectividad ya no es un lujo y se ha convertido en una necesidad principalmente para las empresas” – M. Viu Roig

Por: Romina Alarcón Bonilla

I. Introducción

En una sociedad tan interconectada como la nuestra, basta un ciberataque para generar un impacto en la continuidad de operaciones, en la seguridad, datos personales, entre otros. La cadena de suministro digital constituye un pilar fundamental que hoy en día sostiene la maquinaria global de información y tecnología.

El presente artículo buscará analizar los ataques y vulnerabilidades a las cadenas de suministro digital, explorando así sus manifestaciones, consecuencias y respuestas legales ante la creciente amenaza. Lo expuesto evidenciará que, a medida que el mundo avanza a una constante dependencia digital, es necesaria y esencial una protección adecuada y eficaz.

II. Cadenas de suministro digital

En la era digital, las actividades productivas se organizan mediante cadenas de suministro, la cual es una red compleja de interconexiones que facilitan el flujo de información, servicios y productos. En ese sentido, puede ser definida como un conjunto de procesos y actividades que permiten la planificación, adquisición, producción, almacenamiento y distribución de bienes y servicios hasta su entrega o prestación a los consumidores finales.

Así, para su funcionamiento se refieren múltiples actores, siendo no solo proveedores de insumos o empresas manufactureras, sino también a actores que facilitan el flujo de productos e información. De esa manera, los principales actores dentro de una cadena de suministro serán los (i) proveedores, (ii) la cadena de suministros de logística entrante, fabricación, y logística saliente, (iii) canal de distribución, (iv) facilitadores, y (v) consumidor final[1].

III. Amenazas y vulnerabilidades

Ahora bien, dado que las cadenas de suministro constituyen un proceso complejo, más aún cuando se trata de uno de tipo digital, su funcionamiento se verá proclive a sufrir amenazas y vulnerabilidades cibernéticas que comprometan su integridad. En ese sentido, se tiene que ocho de cada diez compañías se sienten vulnerables a los ciberataques contra la cadena de suministro; y que no obstante las empresas se enfocan en su propia seguridad, suelen pasar por alto la de sus proveedores. Como muestra de ello se tiene que, a pesar de que el 82% de empresas afirma que son vulnerables a los ciberataques en sus procesos de producción, solo el 43% de las corporaciones afectadas realizaron una evaluación de riesgos de sus proveedores o de su cadena de suministro de software[2].

Ataques de Phishing e Ingeniería social

El phishing es un ataque en el cual se aprovechan las técnicas de ingeniería social que tiene como objetivo el recopilar información personal y confidencial, como contraseñas y cuentas bancarias de los usuarios haciéndose pasar por una entidad legítima en el ciberespacio. Así, tradicionalmente funciona enviando correos electrónicos falsificados, imitando un banco en línea, sitios de subastas o pagos, guiando a los usuarios a una página web falsa que está cuidadosamente diseñada para parecerse al inicio de sesión en el sitio genuino[3].

De esa manera, un ataque de phishing se caracteriza de tres maneras: (i) la falsificación de una entidad legítima; (ii) el proceso de suplantación de identidad debe involucrar a un sitio web; y (iii) se debe solicitar información sensible sobre la entidad[4].

Ataques de Malware y Ransomware

El uso de malwares, específicamente del ransomware, constituye igualmente una gran amenaza para la cadena de suministro digital. El ransomware es una categoría de software malicioso, el cual cuando es ejecutado, inhabilita la funcionalidad de un ordenador de cierta manera[5]. Aquel programa mostrará un mensaje exigiendo un pago para restaurar la funcionalidad del dispositivo, esto es, exigirá un pago para el rescate del ordenador, similar a una extorsión.

El ciberataque a SolarWinds de 2020 ilustra un ataque a la cadena de suministro de software que involucró a la plataforma SolarWinds Orion, por el cual un ciudadano del estado ruso obtuvo acceso a los sistemas de SolarWinds e implementó actualizaciones con troyanos para el software Orion.

“No se perpetró mediante bombas como el ataque a Pearl Harbor, pero este ataque a nuestras agencias nacionales y compañías estadounidenses Fortune 500 puede resultar aún más perjudicial para nuestra seguridad nacional y nuestra prosperidad empresarial” – Steven J. Vaughan-Nichols,

Así, el malware cuidadosamente insertado en la cadena de suministro de software permitió a los ciberdelincuentes instalar un malware sigiloso en las redes de los clientes de SolarWinds, entre ellos las principales agencias gubernamentales y empresas de tecnología estadounidenses, tales como el Pentágono, el Ejército y la Marina, el Departamento de Asuntos de Veteranos, el Departamento de Energía, el DHS y el FBI.

IV. Sobre el impacto de los ataques cibernéticos

Ahora bien, los ataques a la cadena de suministro digital no solo socavan la operatividad de las empresas, sino que también generan repercusiones significativas en la seguridad y la confianza.

En primer lugar, la paralización de operaciones, pues cuando el ataque se materializa, las operaciones dentro de la cadena de suministro pueden quedar paralizadas. El ataque de ransomware NotPetya en 2017 tuvo un impacto en cascada en múltiples sectores, paralizando al gigante del transporte marítimo Maersk, a la empresa farmacéutica Merck, a la filial europea de Fedex TNT Express, a la constructora francesa Saint-Gobain, al productor de alimentos Mondelez y al fabricante Reckitt Benckiser. En total, dicho malware causó daños por más de 10,000 millones de dólares en todo el mundo.

El origen de NotPetya fue un grupo de agentes del GRU ruso, quien propagó dicho malware en un solo ordenador con una versión antigua de Windows 10 dentro de una organización, explotando la vulnerabilidad en el protocolo del Server Message Block de Windows para propagarse.

En segundo lugar, la pérdida de datos sensibles. Así, puesto que las cadenas de suministro digital manejan datos críticos, tales como diseño de productos, patentes, hasta información financiera, los ataques cibernéticos comprometen la integridad de estos datos. Lo mencionado no solo representa pérdidas financieras, sino también un riesgo para la propiedad intelectual.

El caso Target en 2013 evidencia ello, siendo que poco antes de la navidad de 2013, la cadena de supermercados Target se vio expuesta a la instalación de un software malicioso en el sistema de seguridad y pagos de la empresa. Ello hizo posible la obtención por parte de hackers de información respecto a las tarjetas de crédito de los clientes que efectuaron compras presenciales.

Así, a pesar de que la empresa meses antes efectuó una inversión de US$ 1,6 millones en un sistema de detección de robo de información sensible, hizo caso omiso a las múltiples aletas de que algo andaba mal, optando por seguir vendiendo. Ello concluyó en un coste millonario, teniendo que pagar a modo de compensación un total de US$ 10 millones a clientes afectados, US$ 67 millones a VISA, US$ 20,25 millones a diversos bancos y cooperativas de crédito y US$ 19,11 millones a MasterCard. Finalmente se informó que este ciberataque le costó un total de US$ 290 millones[6].

Finalmente, el daño a la reputación, uno de los impactos más duraderos a la cadena de suministro, en tanto la confianza de los clientes y socios comerciales se erosiona rápidamente a raíz de ciberataques. Tal es el caso de Equifax en 2017, que en septiembre anunció un incidente de seguridad de datos que expuso la información personal de 147 millones de personas.

La información a la que se tuvo acceso incluyó nombres, números de Seguridad Social, fechas de nacimiento, direcciones, números de licencias de conducir, tarjetas de crédito de aproximadamente 209,000 consumidores estadounidenses. A raíz de tal vulneración de datos, la empresa en cuestión, bajo un acuerdo resolutorio, aceptó pagar hasta US$ 425 millones para ayudar a las personas afectadas por el incidente de seguridad de datos[7].

V. Desafíos y áreas de mejora

Ahora bien, pese a que gran porcentaje de empresas invierten en su ciberseguridad para estar a la par con los avances tecnológicos, persisten desafíos significativos que requieren mejoras continuas.

Uno de los principales desafíos críticos sigue siendo la detección temprana de actividades sospechosas antes que causen un daño significativo a la cadena de suministro. Así, son importantes aspectos tales como la constante monitorización, esto es, una observación continua del tráfico de red, registros del sistema, comportamientos de usuarios, entre otros; además de contar con rigurosos procesos de análisis y alerta para la detección de posibles amenazas

Por otro lado, se tiene la relación con distintos sectores y empresas, pues es tanto las cadenas de suministros se conforman por diversos actores, es preciso establecer estándares y protocolos unificados para implementar medidas de seguridad libres de brechas pasibles de ser aprovechadas por los ciberdelincuentes.

Otro factor por tomar en cuenta es la adaptación a las nuevas tecnologías, lo cual no solo implica avances positivos, sino también las nuevas tácticas empleadas en la ciberdelincuencia. A raíz de ello, se tiene que la ciberseguridad no es estática, sino que debe verse como un proceso en constante evolución.

Finalmente, la falta de estándares globales específicos para la ciberseguridad en una cadena de suministros digital constituye igualmente un desafío importante. De esa manera, la implementación de normativas comunes y estándares de seguridad podría proporcionar un sólido marco para todos los actores involucrados.

VI. Conclusión

A raíz de lo expuesto en el presente artículo se pueden extraer las siguientes conclusiones.

  1. En primer lugar, que al ser el área digital de una cadena de suministros un eje fundamental, la ciberseguridad surge como el método esencial para salvaguardar la integridad operativa de la misma, así como la seguridad de los usuarios.
  1. En segundo lugar, que al intervenir estas redes y conexiones múltiples actores, las amenazas y vulnerabilidades se encuentran siempre presentes, tales como los ataques de phishing y de malwares. Ello tiene como consecuencia la paralización de operaciones, exposición de datos sensibles y el deterioro de la confianza recaída en las empresas por sus usuarios.
  1. Finalmente, la cadena de suministro digital tiende a ser tan fuerte como su eslabón más débil. En ese sentido, la adopción de medidas preventivas aunado a una implementación continua de estas podrá construir una cadena de suministros segura y resistente a cualquier ataque cibernético.

[1] Calatayud, A, y Katz, R. (2019). Cadena de suministro 4.0: Mejores prácticas internacionales y hoja de ruta para América Latina.

[2] Red seguridad. (2023). La cadena de suministro se ha convertido en el principal objetivo para los ciberdelincuentes. Recuperado de https://www.redseguridad.com/actualidad/ciberseguridad/la-cadena-de-suministro-se-ha-convertido-en-el-principal-objetivo-de-los-ciberdelincuentes_20230608.html

[3] Jakobsson, M., & Myers, S. (2006). Phishing and countermeasures: understanding the increasing problem of electronic identity theft: John Wiley & Sons.

[4] Ramzan, Z., & Wüest, C. Phishing Attacks: Analyzing Trends in 2006. In Fourth Conference on Email and Anti-Spam Mountain View, California USA, 2007: Citeseer

[5] O’ Gorman, McDonald, G. (2012). Ransomware: A Growing Menace. Symatec.Security Response. Recuperado de https://www.01net.it/whitepaper_library/Symantec_Ransomware_Growing_Menace.pdf

[6] Hernán, L. (2017). Caso Target y Riesgo de Cybersecurity. Recuperado de https://www.df.cl/opinion/columnistas/luis-hernan-paul/caso-de-target-y-riesgo-de-cybersecurity

[7] Puis, A. (2019). Incidente de seguridad de datos de Equifax: Lo que debe saber. Recuperado de https://consumidor.ftc.gov/alertas-para-consumidores/2019/07/incidente-de-seguridad-de-datos-de-equifax-lo-que-debe-saber

¿Cómo comprar en línea, de forma segura, y no ser víctima de los ciberdelincuentes?

Por: Ximena Cuba Carbajal

Desde que empezó la pandemia, se llevan a cabo campañas online muy populares como el CyberWow o el Black Friday. Estos eventos se han vuelto muy esperados en nuestro país por los grandes descuentos que ofrecen las empresas en varios productos y servicios. La semana del CyberWow dura 5 días y es organizada aproximadamente de 3 a 4 veces al año. En cambio, el Black Friday solo se lleva a cabo una vez al año en noviembre. Si bien estos eventos buscan impulsar el comercio electrónico debido al avance tecnológico, hay que tomar en consideración que, cada vez, es más común los ciberdelitos como los fraudes informáticos o la suplantación de identidad. De acuerdo al Diario El Peruano (2023), son los dos delitos más frecuentes en nuestro país. Es por ello que es de suma importancia que nos informemos sobre los riesgos que existen en estas operaciones y saber cómo evitar ser víctimas de los ciberdelincuentes.

En principio, el phishing es una modalidad que usan los ciberdelincuentes para engañarte y hacer que brindes información confidencial. A modo de ejemplo, estos se hacen pasar por empresas conocidas y envían mensajes de textos o correos electrónicos con el fin de ofrecerte una promoción especial que podrás acceder al brindar tus datos personales como contraseñas o detalles de tarjetas de crédito. Al obtener esta información, los ciberdelincuentes se apropian de la identidad de las personas. Lo más impactante de este delito es que el Perú es el país con más ataques de phishing en Latinoamérica, según la compañía ESET. Por ello, es recomendable que se evite responder los mensajes o seguir los enlaces que se envían por mensajes que parezcan sospechosos como, por ejemplo, que indiquen que tu cuenta ha sido bloqueada. Cabe destacar que, incluso, este engaño se puede realizar vía llamada telefónica, esta modalidad es conocida como vishing. Es decir, se realiza una llamada que se hace pasar por alguna tienda que usualmente consumes para ofrecer una gran oferta y al aceptar brindas tus datos personales (Incibe s/f).

Asimismo, otra modalidad de ser víctima de los ciberdelincuentes son las falsas ofertas online. En este caso, se crean sitios webs o cuentas en las redes sociales de tiendas conocidas con el fin de engañar a los usuarios y hacerles creer que están en su sitio web oficial. Esta confusión se da cuando buscas a través del navegador la página y aparece más de una opción, por lo que al entrar te das cuenta de que la plataforma es muy similar y cuenta con los mismos detalles de los productos o servicios que ofrecen. Sin embargo, es aconsejable asegurarse que la página web sea confiable y segura: en primer lugar, puedes verificar que el sitio web cuente con certificado de seguridad, es decir, el ícono de candado cerrado ubicado al extremo superior izquierdo del navegador; sin embargo, Diana Arias (2018) sostiene que este ícono solo hace referencia a que la página en la que estamos usa el protocolo HTTPS (Protocolo seguro de transferencia de hipertexto), más no indica que una página sea legítima o no. Es por ello, que hay que tomar en cuenta que existen ciberdelincuentes que se aseguran de que sus páginas fraudulentas tengan el protocolo HTTPS para engañar a las personas. Por otro lado, también puedes verificar en las redes sociales con qué nombre o usuario está registrada la empresa en su plataforma web. Finalmente, puedes buscar los comentarios de otras personas en internet sobre esa página, pues muchas veces, las víctimas avisan mediante los comentarios que es una página falsa.

Por último, otra manera de ser engañados se da mediante el fraude informático, Villavicencio (2014) señala que en este delito se obtiene la información personal indebidamente mediante herramientas tecnológicas, lo que genera un daño a las víctimas. Una modalidad del fraude informático son los cobros indebidos de tarjetas, ya que al comprar mediante las plataformas web de las tiendas por departamento es usual que el principal medio de pago sea a través de una tarjeta de crédito o débito. Esto puede ser aprovechado por los ciberdelincuentes para realizar cargos por consumos no reconocidos. Para este delito, la Ley Nº 30096, Ley de Delitos Informáticos, prevé una pena no menor de 3 años ni mayor de 6 años. Tras ello, Aldo Cardenas (2019) recomienda revisar y leer bien la política de privacidad de la página web en la que haces la compra y verificar qué datos personales van a recopilar antes de aceptarlos.

En suma, hay que tener mucho cuidado al realizar una compra online, sobre todo cuando se lleva a cabo durante las campañas online como el CyberWow o e Black Friday, esto debido a que los ciberdelincuentes se aprovechan de estas modalidades de compra para cometer estafas y fraudes. Asimismo, se debe tomar en consideración que si recibes una supuesta llamada del banco o empresa, no te pueden solicitar los datos personales como el número de tarjeta y clave a través de formularios. De igual modo, el Diario El Peruano, también, recomienda tener una cuenta para realizar compras y otra de ahorros para reducir el riesgo de ser víctima, así como mantener los antivirus activados y actualizados. Finalmente, cabe señalar que en nuestro país existe una ley que sanciona estos ilícitos: la Ley de Delitos Informáticos. Esta ley, de acuerdo con el artículo 1, tiene por objetivo “prevenir y sancionar las conductas ilícitas que afectan los sistemas y datos informáticos y otros bienes jurídicos de relevancia penal, cometidas mediante la utilización de tecnologías de la información o de la comunicación, con la finalidad de garantizar la lucha eficaz contra la ciberdelincuencia”.

Referencias bibliográficas

Arias, D. (27 de noviembre de 2028). El candado en el navegador no significa que un sitio web es seguro. Enter.co. Recuperado el 04 de enero de 2024.

Cárdenas, A. (12 de noviembre de 2019). Cyber Wow 2019: tres tipos de estafas virtuales y cómo puedes reconocerlas. Andina, agencia peruana de noticias. Recuperado el 04 de enero de 2024.

Diario el Peruano (13 de febrero de 2023). Sepa cómo evitar ser víctima de un delito informático. Recuperado el 04 de enero de 2024.

ESET. (26 de octubre de 2022). ¿Qué es el phishing y cómo protegerte?. Recuperado el 04 de enero de 2024.

Incibe. (s/f). ¿Qué es el vishing?. Recuperado el 04 de enero de 2024.

Ley de Delitos Informáticos, Ley N° 30096 de 2013. 22 de octubre de 2013.

Villavicencio Terreros, F. (2014). Delitos Informáticos. Ius Et Veritas, 24(49), 284-304.

¿Ficción o realidad? El lado oscuro de la tecnología y el cibercrimen en la película “Identidad desbloqueada”

Por: Romina Alarcón

En febrero, en la plataforma de streaming Netflix, se estrenó la película “Identidad desbloqueada”, la cual a la luz del cibercrimen y ciberseguridad nos brinda un panorama que posiblemente no hemos contemplado aún sobre la incidencia de la tecnología y redes sociales en la privacidad y seguridad.

A manera de introducción, la trama del filme reside en Na-mi, una chica muy dependiente de su celular y dentro del cual tiene su vida completa. Así, cuando olvida su teléfono en el transporte público, un desconocido lo recoge, lo hackea y se lo devuelve con una significativa modificación: el haber instalado en su teléfono celular un programa espía, teniendo así el control total de su vida[1].

En materia de cibercriminalidad, esta película aborda diversos tópicos que se encuentran regulados en la legislación nacional peruana; por lo que, con la finalidad académica de comprender estos temas que pueden resultar complejos, este artículo buscará explicarlos utilizando como base la referida película.

1. Delitos informáticos

Para comprender los hechos a relatar debemos tener presente la definición de “delito informático”, la cual es una de tipo instrumental, toda vez que bajo aquella denominación serán consideradas aquellas conductas en las cuales intervenga un dispositivo informático como medio para cometer un delito o como fin del delito mismo[2]. Así, no importará mucho la naturaleza delictiva del acto, sino el lugar que ocupe la tecnología para la comisión de dicho delito para ser considerado como tal.

2. Legislación Nacional en materia de cibercrimen

a) Ley de delitos informáticos (en adelante, LDI)

La referida ley se promulgó con el objeto prevenir y sancionar las conductas ilícitas que afecten los sistemas y datos informáticos y otros bienes jurídicos de relevancia penal, cometidas mediante las tecnologías de la información y comunicación (TICs), con la finalidad de garantizar la lucha eficaz contra la ciberdelincuencia.

a.i) Acceso ilícito (Artículo 2 de la LDI)

En ese marco, y utilizando como base la película referida, se puede evidenciar que en ella se comete en primer lugar, el delito regulado en el artículo 2 de la LDI, referente al “Acceso ilícito”, el cual se encuentra tipificado en los siguientes términos:

El que deliberada e ilegítimamente accede a todo o en parte de un sistema informático, siempre que se realice con vulneración de medidas de seguridad establecidas para impedirlo, será reprimido con pena privativa de libertad no menor de uno ni mayor de cuatro años y con treinta a noventa días-multa.

Será reprimido con la misma pena, el que accede a un sistema informático excediendo lo autorizado.

Este tipo penal busca proteger la triada de la ciberseguridad, la cual es conformada por la i) confidencialidad, pues quien accede tiene acceso a información que no debe tener, ii) integridad, por la cual se vulneran las medidas de seguridad, y iii) la disponibilidad de sistemas de datos, la cual quedará supeditada a si el acceso ilícito se comete como precedente a un delito como por ejemplo la interrupción de un servicio.

Para los que no tuvieron la oportunidad de ver la película, lo sucedido fue que la persona que encontró el celular de la protagonista, con el pretexto de arreglarlo -pues se había roto la pantalla-, se hace pasar por un técnico de reparación de celulares, solicitando entre diversos datos para poder reparar su teléfono, la contraseña o PIN de seguridad para poder acceder a su celular[3]. Sin embargo, el uso de la contraseña no iba a ser destinado para dicha finalidad, sino para poder acceder al sistema informático e instalar un software malicioso.

En este contexto, no es posible encontrarnos en el primer párrafo del referido tipo penal, pues el sujeto activo -quien comete el delito- no se encuentra vulnerando medidas de seguridad, toda vez accede en virtud de la clave que le proporciona la propia víctima. Sin embargo, ello no quiere decir que no sea un acceso lícito, toda vez que dicha conducta sí encaja en lo regulado en el segundo párrafo, siendo que accedió a un sistema informático “excediendo lo autorizado”. En ese sentido, pese a no haber vulnerado medidas de seguridad pues la víctima dio voluntariamente su contraseña; sí hay un acceso ilícito, pues el accionar del criminal va en contra de la confianza depositada por la víctima[4].

a.ii) Atentado contra la integridad de sistemas informáticos (Artículo 4 de la LDI)

Ahora bien, el hecho no concluye en el acceso ilícito, pues como consecuencia de obtener la contraseña del celular, el sujeto instala un programa espía en el celular, permitiéndole crear una copia espejo del celular de la víctima. Así, cada acción, mensaje, llamada que realizaba la víctima -al recuperar su celular- era visualizado por el criminal en la copia espejo que había creado. De esa manera, la cámara del smartphone era sus ojos y el micrófono sus oídos; siendo así la ventana para conocer todo sobre la vida de la víctima: donde vivía, a quienes frecuentaba, cuestiones  y a quienes mensajeaba.

Así las cosas, con ello se habría cometido en segundo lugar, el delito regulado en el artículo 4 de la LDI, referente al “Atentado contra la integridad de sistemas informáticos”, tipificado en los siguientes términos:

El que deliberada e ilegítimamente inutiliza, total o parcialmente, un sistema informático, impide el acceso a este, entorpece o imposibilita su funcionamiento o la prestación de sus servicios, será reprimido con pena privativa de libertad no menor de tres ni mayor de seis años y con ochenta a ciento veinte días-multa.

Es necesario precisar que este será un tipo penal distinto, pues según Miró Linares, no habrá hacking cuando el sujeto utilice determinados programas informáticos para extraer información del sistema. En otras palabras, hacking o acceso ilícito será la entrada no autorizada en el sistema ajeno; mientras que la introducción de un spyware que recopile la información y controle el dispositivo a larga distancia constituirá la comisión del delito de atentado contra la integridad de sistemas informáticos[5], inutilizándolo parcialmente al ya no poder tener el pleno control del dispositivo.

a.iii) Suplantación de identidad (Artículo 9 de la LDI)

El tema de la suplantación de identidad en este filme puede pasar desapercibido. Recordemos que a raíz del programa instalado en el smartphone de la víctima, el sujeto era capaz de ver todo lo que la víctima hacía, así como de controlar el dispositivo cuando nadie se diera cuenta. Siendo así, se puede evidenciar cómo cuándo la víctima se encontraba dormida, el sujeto aprovecha para entrar a sus redes de mensajería y enviar diversos mensajes a personas y grupos, haciéndose pasar por ella.

En ese sentido, el artículo 9 de la LDI regula dicho tipo penal bajo los siguientes términos:

El que, mediante las tecnologías de la información o de la comunicación suplanta la identidad de una persona natural o jurídica, siempre que de dicha conducta resulte algún perjuicio, material o moral, será reprimido con pena privativa de libertad no menor de tres ni mayor de cinco años.

Como se puede evidenciar, es un supuesto particular, pues no es el típico caso donde una persona crea una cuenta falsa haciéndose pasar por determinada persona, sino que, es desde el mismo dispositivo de la víctima por el cual suplanta su identidad o se hace pasar por ella. En ese contexto, la probanza no será tan sencilla de acreditar, pues diligencias como el rastro de la IP del ordenador o dispositivo arrojarían que la misma víctima realizó dichas publicaciones o mensajes y que no hay un suplantador. Frente a ello, las diligencias y las autoridades competentes deberían desarrollar nuevas técnicas para poder acreditar la suplantación de identidad.

b) Código Penal

En la película se puede visualizar la concurrencia de varios delitos, algunos regulados únicamente en la LDI, y otros en cuerpo normativo penal.

Siendo así, dado que en virtud del programa instalado el sujeto era capaz de controlar y visualizar todo, ello implicaba también la escucha de las llamadas telefónicas, lo cual constituye la comisión del delito de interferencia telefónica, regulado en el artículo 162 del Código Penal en los siguientes términos:

El que, indebidamente, interviene o interfiere o escucha una conversación telefónica o similar, será reprimido con pena privativa de libertad no menor de cinco ni mayor de diez años.

Aquella captación de comunicaciones orales puede darse mediante la utilización de dispositivos electrónicos, tales como un micrófono, cámaras ocultas o mediante el mismo dispositivo móvil, como fue el caso en cuestión[6]. De esa manera, se evidencia cómo el delito de acceso ilícito no culmina con la intromisión al sistema; sino que también puede ser un delito precedente de otros delitos más graves, como el caso de la interceptación de las comunicaciones, aplicando en el caso en cuestión un concurso de delitos.

Como se evidencia, estos delitos pueden ser la puerta para la comisión de otros, como se aprecia en la película. Estas graves vulneraciones a la privacidad de los usuarios y el conocimiento de la geolocalización de estos puede ser propicio para la comisión de delitos tales como el secuestro (artículo 152 del Código Penal) o incluso homicidio (artículo 106  del Código Penal), como se presenta en el filme.

A modo de conclusión, se tiene que el argumento de la película refleja las grandes preocupaciones que se tiene sobre la cibercriminalidad y desventajas del mundo digital. El filme “Identidad desbloqueada” muestra la realidad de estos problemas desde la perspectiva de la víctima, el victimario y el investigador; demostrando así que no es una situación ajena a la realidad o imposible de suceder, sino por el contrario, constituye una crítica a la dependencia a las nuevas tecnologías, redes sociales y el impacto contraproducente que pueden tener.

Referencias:

Ley N° 30096. Ley de delitos informáticos

MIRÓ LLINARES, Francisco. (2012). “La Criminalidad en el Ciberespacio: La Cibercriminalidad”, en “El Cibercrimen: Fenomenología y Criminología  de la delincuencia en el Ciberespacio”. Madrid: Marcial Pons, Ediciones Jurídicas y Sociales. pp. 33-46
                                                                      

MOISÉS BARRIOS, Andrés. (2018). “Delitos 2.0: Aspectos penales, procesales y de seguridad en los ciberdelitos”. Madrid: La Ley. pp. 124-132

SALIN, Gustavo. (2015). Delitos informáticos. Investigación criminal, marco legal y peritaje. ¿Qué son los delitos informáticos?


[1] https://laestatuilla.com/criticas/critica-identidad-desbloqueada-netflix/

[2] SALIN, Gustavo. (2015). Delitos informáticos. Investigación criminal, marco legal y peritaje. ¿Qué son los delitos informáticos?

[3] Ingeniería social: Es un conjunto de técnicas que usan los cibercriminales para engañar a los usuarios para que les envíen datos confidenciales, infecten sus computadoras con malware o abran enlaces a sitios infectado

[4] MIRÓ LLINARES describe al hacking como cualquier conducta por la cual un sujeto accede a un sistema o equipo informático sin autorización del titular del mismo, de una forma tal que tiene capacidad potencial de utilizarlo o de acceder a cualquier tipo de información que esté en el sistema.

[5] Sistema informático: Debe entenderse en virtud del Convenio de Budapest como “Todo dispositivo aislado o conjunto de dispositivos interconectados o relacionados entre sí, cuya función, o la de alguno de los elementos, sea el tratamiento automatizado de datos en ejecución de un programa”

[6] MOISÉS BARRIOS, Andrés. “Delitos 2.0: Aspectos penales, procesales y de seguridad en los ciberdelitos”. Madrid: La Ley, 2018. pp. 124-132

En búsqueda del ciberdelincuente en el metaverso: Una misión para la Interpol

Por: Andreina Camargo

La pandemia ha marcado un hito importante para esta generación, ya que nadie esperaba enfrentar una situación como la que vivimos. Algo que a título personal me pareció una idea innovadora fueron las visitas virtuales a diferentes lugares, en especial a museos[1]. La experiencia de visitar virtualmente un lugar hizo que surgiera en mí la curiosidad de cuestionarme sobre conocer otros lugares e inclusive participar mediante la realidad virtual de otras actividades sin salir de casa.

Hace algunos días, mientras navegaba en Google encontré que la Interpol se estaba organizando para investigar delitos que se cometieran en el metaverso[2]. Sin lugar a duda, de haber escuchado este tipo de noticias hace algunos años nos hubiera parecido alucinante, no obstante, cada vez la realidad virtual ha ido abarcando más espacios en nuestra vida, lo cual nos puede llevar a considerar razonablemente que también pueden llevarse a cabo conductas de relevancia penal.

Pero ¿qué es el metaverso? De acuerdo con el Dr. Ortega Rodríguez, el metaverso “es un acrónimo formado por el prefijo “meta” (más allá) y la contracción del término universo – “verso”-, que se refiere a un mundo virtual en 3D que es inmersivo, interactivo y colaborativo. Constituye una nueva dimensión en Internet […]”[3]. En otras palabras, el metaverso es aquella realidad virtual en la que se intenta replicar el mundo físico.

Si el metaverso intenta crear o generar una realidad alternativa al mundo físico, ello nos debe llevar a cuestionarnos si se pueden presentar conductas delictivas, toda vez que, bien podrían ser espacios que pueden ser aprovechados por ciberdelincuentes. Para un análisis con mayor experticia y profundidad, los invito a leer el artículo de Aldo Cabello Marin, titulado “Tocamiento indebidos… ¿En el ciberespacio?”[4]. Aquí podemos corroborar que no parece una idea descabellada pensar en delitos en el ciberespacio.

Es en este contexto que la Interpol promueve esta iniciativa para adentrarse y tomar un paso adelante frente a la ciberdelincuencia. No obstante, este no es un hecho reciente, en octubre de 2022, la Interpol ya había lanzado el primer metaverso policial mundial[5]. Este es un hito importante, ya que implica sumergirnos en un mundo alternativo o lo que Jürgen Stock, secretario general de INTERPOL llama, “futuro abstracto”.

¿Y por qué resulta importante que la Interpol coloque esta idea sobre el tapete? Una de las principales características de los ciberdelitos es su transnacionalidad. Ello implica un problema, ya que la normativa de cada país se enmarca para una determinada realidad, con lo cual la investigación de los delitos en el medio digital ya nos plantea un desafío.

Y así lo reconoce la Interpol cuando afirman: “Ante el desplazamiento cada vez más evidente de los límites de nuestro mundo físico hacia el ámbito digital, en el que parece que no existen las fronteras, en la mesa redonda se planteó la cuestión siguiente: cómo pueden las fuerzas del orden seguir protegiendo a los ciudadanos y garantizando el Estado de derecho”.

Cabe señalar que el metaverso de Interpol no solo abarca la visita de la sede de la Secretaría General de esta Institución en Lyon (Francia), sino también en interactuar con otros funcionarios; e, incluso, esta realidad virtual permite tomar cursos inmersivos en el ámbito de la investigación forense.

Desde el 19 de septiembre de 1962, Perú es miembro de la Interpol, con lo cual cuenta con una Oficina Central Nacional (OCN) en Lima. Estas oficinas ofrecen data respecto a los delitos de cada territorio nacional de los estados miembros, de igual manera, se brinda cooperación para las investigaciones, operaciones y detenciones transfronterizas.

Como se constata, la Interpol cumple un papel importante para la comunicación entre las naciones referida a la cooperación para la lucha contra la delincuencia y, en estos días, la ciberdelincuencia. En esa línea corresponde cuestionarnos, ¿Perú está preparado para involucrarse en el mundo virtual? Es difícil dar una respuesta, ya que involucra una serie de factores, tales como, económico, profesional, experiencia, etc.

En suma, no podemos negar que se presentan nuevas realidades que deben ser atendidas. Desde nuestra posición será importante siempre cuestionarnos e indagar qué es aquello que está ocurriendo en el metaverso y cómo podemos aproximarnos a los problemas que se pueden ir presentando en estos espacios.


[1] Enlace: https://visitavirtual.cultura.pe/

[2] Enlace: https://www.bbc.com/mundo/noticias-64533467. Consulta: 16 de febrero de 2023.

[3] ORTEGA-RODRÍGUEZ, Pablo Javier. (2022). De la realidad extendida al metaverso: una reflexión crítica sobre las aportaciones a la educación. Teoría de la Educación. En: Revista Interuniversitaria, 34(2), 189-208. Enlace: https://revistas.usal.es/tres/index.php/1130-3743/article/download/27864/27552/103853 

[4] Enlace: https://www.linkedin.com/pulse/tocamientos-indebidos-en-el-ciberespacio-eliaspuelles/?trackingId=q4c72ou6TOa9ncKBZoydAg%3D%3D. Consulta: 17 de febrero de 2023.

[5] Enlace: https://www.interpol.int/es/Noticias-y-acontecimientos/Noticias/2022/INTERPOL-lanza-el-primer-metaverso-policial-mundial. Consulta: 16 de febrero de 2023.