Inicio Nuestras firmas CIBERFRAUDE Y EL CUIDADO DE NUESTRA INFORMACIÓN PERSONAL EN ENTORNOS VIRTUALES

CIBERFRAUDE Y EL CUIDADO DE NUESTRA INFORMACIÓN PERSONAL EN ENTORNOS VIRTUALES

185
0

Por Viviana García y Mathias Spielvogel

A medida que las condiciones de la modernidad cambian, se aumenta nuestra conectividad y también nuestra huella digital gracias al uso del Internet, el comportamiento fraudulento y los métodos utilizados por los delincuentes también han evolucionado, adaptándose a esta nueva realidad en la que vivimos, el llamado ciberespacio.

Pensar que es mediante Internet desde donde ocurren todos los días transacciones económicas de distinta cuantía y desde donde las personas pueden compartir todo tipo de información, tales como aspectos privados de su vida familiar hasta datos de salud y datos bancarios era quizás impensable hace algunos años, pero hoy gracias al desarrollo que han logrado las tecnologías de la información (TIC) esto no sorprende, al contrario, viene sucediendo y contribuyendo a esa sensación de fluidez y transformación digital en la que vivimos. Si ello es así, no debe pues extrañarnos que viviendo en un ciberespacio seamos sujetos de ciberataques y que uno de los más frecuentes sea el ciberfraude.

En efecto, como ya indicaba Fernando Miró Llinares hace 10 años en “El Cibercrimen Fenomenología y criminología de la delincuencia en el ciberespacio” [1], el cibercrimen es hoy parte de nuestra realidad criminológica, una realidad omnicomprensiva que presenta una complejidad especial por la propia incidencia del ciberespacio en todos los aspectos de nuestra vida, lo cual se pronostica irá en aumento y además crecerá en complejidad. Se trata pues de una delincuencia que “(…) no se puede asociar a una concreta tecnología o a un específico grupo de sujetos ni limitarse a un concreto sector de la actividad social.” [2] Así, por ejemplo, el fraude, que podemos definir como el uso engañoso e ilícito de artimañas para obtener algo valioso, ha pasado a formar parte de la delincuencia común en el ciberespacio, aquella que lamentablemente casi no nos llama la atención por la frecuencia en la que ocurre, pero sí lo hace cuando nos vemos sorprendidos de la originalidad de alguna nueva “modalidad”.

En la era del ciberfraude la información, los activos y nuestra propia identidad están ahora en peligro constante. El ciberfraude no es una amenaza exclusiva de las empresas privadas o entidades gubernamentales, ahora lo es para los propios individuos quienes, al compartir su información personal, muchas veces sin ser realmente conscientes de ello, se ven expuestos a diversos ataques.

Entre los ciberataques más comunes relacionados con el fraude se encuentran: el phishing, el spyware y el ransomware. El phishing es el método más popular de fraude en todo el mundo, implica el uso de mensajes de texto, enlaces en los que se puede hacer ´clic´ e incluso llamadas telefónicas para engañar a las víctimas para que proporcionen su información personal, la de terceros, transfieran dinero, entre otras solicitudes. A menudo, las estafas de phishing se hacen pasar por fuentes fiables, como bancos u organizaciones gubernamentales, para facilitar la receptividad por parte de la futura víctima. ¿En dónde radica el éxito del phishing? Como mencionábamos previamente, el hacer uso del engaño mediante un método creíble, para obtener de la víctima algo valioso. Sin embargo, el éxito también radica en que los individuos comparten con mucha facilidad su información personal, lo que comprende su información bancaria como pueden ser datos de sus tarjetas de crédito, claves y contraseñas. No existe una real consciencia de que, detrás de esa información, ese dato personal, están ellos mismos. El cuidado de los datos debe partir del mismo titular y, ciertamente, debe continuar a lo largo de las múltiples transferencias que pueden ocurrir si es que uno proporciona su información a un tercero, pero ¿qué sucede si somos nosotros mismos los que no estamos alertas a este tipo de engaños?

Por otro lado, el spyware es una modalidad de fraude mediante la cual el ciberdelincuente rastrea de manera oculta (de allí el término en inglés “spy” que significa espía) la huella digital de sus víctimas sin que ellas lo sepan, por ejemplo, infectando sus dispositivos, instalando softwares maliciosos, y permitiendo a los ciberdelincuentes acceder a sus memorias y archivos. Una vez que han accedido, esta información puede utilizarse para robar datos o realizar prácticas de extorsión. Lo clave del spyware es esta instalación secreta o espionaje oculto, sin el conocimiento ni consentimiento de los usuarios que navegan e ingresan a distintos sitios web o instalan softwares gratuitos, y que luego se convierten en futuras víctimas. Sin embargo, existe un aspecto respecto del cual es importante incidir y es el hecho que muchas veces es la propia víctima la que voluntariamente ha ingresado su información personal para acceder a alguna aplicación gratuita o no ha verificado que las casillas estaban pre-marcadas, es decir no dudó sobre la fiabilidad del entorno y a pesar ello brindó su consentimiento, cuando solicitó apurado una descarga rápida en algún proceso de instalación. ¿Es la única razón de la proliferación del spyware? Ciertamente no lo es, pero sí es un aspecto que debemos observar. La ciberseguridad debería nacer del propio usuario quien, además, debería valorar la información que ofrece a cambio, más aún si en el mundo digital nuestros datos personales tienen gran valor.

Los ataques de ransomware a diferencia del spyware tienen la particularidad de prohibir a las víctimas el acceso a sus archivos o dispositivos hasta que se pague una suma de dinero. ¿Cómo es que se logra? Los ciberdelincuentes que hacen uso de este tipo de fraude secuestran los archivos o sistemas de información de sus víctimas para luego de ello pedir un rescate (el término “ransom” significa en inglés rescate). Los autores de este tipo de ciberfraude tienen entonces la posibilidad de acceder a datos que aparentemente podrían no tener un valor económico fijo (más allá de la fracción de céntimos que cuesta almacenar una imagen o un archivo en la nube) y pueden, luego de haber hecho el secuestro, establecer su valor en función de lo que crean que la víctima está dispuesta a pagar. Es revelador reflexionar sobre justamente el valor que la víctima podría otorgar o estar dispuesta a pagar al ciberdelincuente si se trata, por ejemplo, de información de salud. ¿Cuál sería el valor que una clínica estaría dispuesta a pagar si es que existe un secuestro de todas las historias clínicas que tiene en sus sistemas? ¿Cuál sería el impacto económico y reputacional para ese establecimiento de salud en caso sus pacientes no puedan acceder a la información que le confiaron a su personal sanitario durante largos y penosos tratamientos médicos? Se trata ciertamente de medidas de seguridad, pero también de no dejar del lado que muchas veces se trata de datos personales y que, como mencionábamos, detrás de cada dato está una persona.

Si bien todavía no existe un consenso global sobre cómo abordar este problema, las diferentes jurisdicciones han promulgado a lo largo de varios años ciertas medidas de salvaguarda para disuadir o limitar los casos de fraude que se perciben mayoritariamente en sus respectivos sistemas. Europa es un ejemplo de uno de los pocos actores con mucha regulación y política gubernamental relacionada con el tema, especialmente cuando se contrapone con jurisdicciones mucho menos reguladas como Latinoamérica, o incluso Estados Unidos, que casualmente se sitúa por encima de la mayor parte de la Unión Europea en términos de alfabetización tecnológica. Con esto en mente, quizás es importante entender cuáles son los problemas que experimentan las jurisdicciones que regulan fuertemente, en contraposición con los problemas que experimentan las jurisdicciones que no han promulgado muchas regulaciones, si es que han promulgado alguna. ¿Estaremos ante los mismos problemas? Es evidente que los ciberataques son cada vez más complejos y dinámicos a medida que se desarrollan y adoptan diferentes protecciones tecnológicas, legales. La ciberdelincuencia indefectiblemente se irá perfeccionando ya que, como expresamos al inicio de esta nota, es parte de nuestra realidad crimonológica.

Una mirada a nivel europeo, nos confirma que la amenaza de la ciberdelincuencia no se toma a la ligera. Los ciberataques han afectado a hospitales, han cerrado gaseoductos, han afectado a las señales de tráfico y cuanto más dependen los distintos sectores de las soluciones digitales, más riesgo se corre de comprometerlos ante los ciberataques. Como consecuencia, Europa ha aprobado múltiples mecanismos durante la última década. Por ejemplo, la directiva NIS2 (Directiva sobre la seguridad de las redes y los sistemas de información 2) intenta unificar Europa y codificar una comprensión colectiva de las prácticas digitales ilícitas de forma aún más estricta que su predecesora la NIS. Esta nueva directiva abarca las mencionadas prácticas de fraude comunes, el phishing, el spyware y el ransomware. La NIS2 es aplicable tanto a los proveedores de servicios digitales como a los operadores de servicios esenciales. Incluso en los casos en los que los proveedores de servicios digitales no están constituidos en la Unión Europea pero operan dentro del territorio están sujetos a un código de conducta establecido por la directiva NIS2. Además, la Ley de Ciberseguridad de la Unión Europea, que desarrolla la directiva NIS2, es aplicada por la Agencia de Ciberseguridad de la Unión Europea. Por último, pero no por ello menos importante, el Reglamento General de Protección de Datos de la UE (GDPR) es la norma central para la protección de datos en la Unión Europea y es conocida por sus duras multas que superan los 20 millones de euros, o el 4% de la facturación anual de las empresas infractoras.

En Estados Unidos de América, la mayor arma legislativa contra los ciberdelitos se encuentra en el 18 U.S. Code § 1030- Fraude y actividades relacionadas con los ordenadores. Sin embargo, esta ley, entre sus otras políticas gubernamentales, parece insuficiente para abordar el problema, ya sea para disuadir de nuevos casos o para castigar a los infractores. Prueba de ello es que se ha comprobado que las pequeñas y medianas empresas corren un riesgo especialmente elevado de ser víctimas de estos ataques. Según Master-card, en Estados Unidos el 66% de las pequeñas y medianas empresas fueron víctimas de una violación de datos o de un ciberataque; más de la mitad de ellas quebraron como consecuencia de los ataques.

Aunque los ciberataques no se denuncian en su mayoría, las aseguradoras han observado un aumento del 150% en las reclamaciones por ransomware desde 2018. Cybersecurity Ventures, un investigador líder en ciberseguridad y economía de la misma, estimó en el año 2020 [3] que para 2025 el cibercrimen global puede ascender a 10,5 billones de dólares. A nivel mundial, la ciberdelincuencia ha supuesto daños que se estiman en 6 billones de dólares sólo en 2021. Ante este panorama, los expertos en tecnología y seguridad de todo el mundo han aconsejado una doble solución. Aconsejan a los gobiernos que inviertan en legislación y salvaguardias a largo plazo contra la ciberdelincuencia, como comités ad hoc y políticas sólidas, y en segundo lugar, que inviertan en educación sobre ciberseguridad. Esto se ve respaldado por una de las conclusiones del Global Risks Report 17th Edition del año 2022, publicado por el World Economic Forum que estima que más del 95% de las violaciones de la ciberseguridad se deben a errores humanos, lo que sugiere que la inversión en educación sobre ciber riesgos puede mejorar las condiciones actuales. Suiza y Singapur se encuentran entre los países que más invierten en ciberalfabetización, instituyendo guías completas e incluyendo prácticas de seguridad en sus sistemas educativos. No sorprende entonces que Microsoft y Kaspersky hayan llevado a cabo un experimento en el que descubrieron que los ciudadanos de Suiza son los menos propensos a ser víctimas de ataques de phishing o malware.

A modo de conclusión

La digitalización de nuestros sistemas como consecuencia de la pandemia que hemos vivido, el teletrabajo, la telemedicina y nuestra creciente dependencia de las plataformas digitales para educarnos y entretenernos han contribuido al aumento de los ataques digitales en todo el mundo. El hecho que la mayor parte de nuestras vidas se almacene en el ciberespacio se relaciona de manera directa con la posibilidad de que nuestra información personal se vea comprometida en ciberfraudes.

Ante este horizonte que vislumbramos en nuestros países de Latinoamérica, podemos ver que la solución parte por promover la educación en la ciudadanía generando, por ejemplo, consciencia sobre los riesgos de compartir nuestra información personal en el ciberespacio. Si contamos ya con data y estudios que lo han evidenciado, ¿qué tanto más tenemos que esperar para tomar medidas que nos permitan protegernos ante el incremento de la ciberdelincuencia?


Autores:

Mathias Spielvogel

Estudiante de derecho comparativo de 4to año en el IE (España). Apasionado por los temas de propiedad intelectual, derecho de tecnologías, y privacidad de datos.

Viviana García

Graduada en Derecho en la Pontificia Universidad Católica del Perú (1999). Cuenta con una Maestría en Derecho Corporativo por New York University (2002), un Diplomado de Estudios Asiáticos, con mención en Estudios Chinos, en la Pontificia Universidad Católica del Perú y una certificación como Experta en Protección de Datos Personales por parte del Institut of Audit and IT Governance. En el año 2016, la Revista Latin Lawyer, la incluyó en su lista de “50 inspiring women practising Law in Latin America” y, en el año 2019, fue nominada por la publicación “Euromoney” dentro del grupo de abogadas “Best in Technology” y obtuvo una certificación por Harvard al completar el curso “Managing Risk in the Information Age”. Luego de ser socia del área corporativa en dos firmas de abogados por más de 10 años, desde el año 2020, a través de VG.pe, brinda asesorías especializadas en privacidad y cumplimiento de la normativa de protección de datos personales.

Linkedln: Viviana García

Facebook: VGpe

Instagram: vgpeasesoria

Citas.
[1] Miró Llinares, Fernando. ““El Cibercrimen Fenomenología y criminología de la delincuencia en el ciberespacio”. 2012 p.25 https://www.marcialpons.es/media/pdf/9788415664185.pdf
[2] Miró Llinares, Fernando. ““El Cibercrimen Fenomenología y criminología de la delincuencia en el ciberespacio” 2012. p. 28 https://www.marcialpons.es/media/pdf/9788415664185.pdf
[3] https://cybersecurityventures.com/cybercrime-damage-costs-10-trillion-by-2025/