MARCELO TEMPERINI, ESPECIALISTA EN DERECHO INFORMÁTICO

Delitos informáticos: del “a mí quién me va a hackear” a la toma de conciencia

  • El comercio electrónico hizo al mercado más horizontal, pero los delitos también lo son y no distinguen poder económico ni hora del día. Modalidades, ausencia de datos oficiales y apuesta a la capacitación de usuarios y de investigadores. La ley y el Código .
4 A - DSC_6387.jpg

“El secreto de un gran estafador está en que la víctima no note que está siendo estafada”, advierte Temperini. fotos: Flavio Raina.

 

Nancy Balza

[email protected]

Phishing, hacking, cracking son términos con los que conviene familiarizarse. Están en inglés pero representan acciones ilegales que se cometen a través de la red informática en todo el mundo. También en Santa Fe. En los últimos días, se conoció el caso de una cuantiosa estafa cometida en nuestra ciudad a través de tarjetas de crédito. El hecho -que disparó todos los alertas y recomendaciones- ocupa desde entonces a investigadores, y preocupa a cualquier persona que utilice estos medios para sus operaciones comerciales, es decir, un porcentaje cada vez mayor de la población.

Marcelo Temperini es abogado especializado en Derecho Informático, es investigador en la FCJS de la Universidad Nacional del Litoral, becario del Conicet con un doctorado en Derecho en proceso sobre delitos informáticos y cibercrimen, y socio fundador de AsegurarTe (consultora en seguridad de la información). Es, además, el especialista consultado por El Litoral para profundizar sobre el robo de identidad a través de tarjetas de crédito y débito, y para explicar cada uno de los conceptos que se mencionan al inicio. Y otros más.

“Para el caso de las tarjetas de crédito o de débito, la forma tradicional de la estafa necesita dos partes. Esencialmente, se necesitan por un lado los datos propios de las tarjetas, el PIN (depende el tipo de tarjeta) y los datos personales de las víctimas, que son los más sencillos de conseguir para los delincuentes. Con esa información hay distintos niveles de delito: hay delincuentes que recolectan estas credenciales y luego las venden en el mercado negro y otros que se dedican a realizar efectivamente las estafas. Hay toda una técnica acerca de cómo realizar las estafas sin que la persona se dé cuenta. Porque el secreto de un gran estafador está en que la víctima no note que está siendo estafada. Por eso, entre las recomendaciones básicas está que la gente controle los movimientos de su cuenta”, advirtió.

Hoy se usa débito automático para el pago de servicios y para las compras de todos los días, y eso hace que no se recuerden los montos. “Entonces es muy difícil para el titular de la tarjeta llevar el control, pero es una ventaja para quien comete el delito. Es una mezcla de todo: la gente empieza a utilizar cada vez más la tarjeta y los accesos a los clonadores son cada vez más fáciles”.

—¿Cómo se clona una tarjeta?

—Una manera es con un dispositivo skimmer que básicamente es un lector que puede estar en cualquier lado, en el propio lector del cajero, o incluso en la propia puerta del cajero en el banco. Por eso, una recomendación es que cuando se ingresa a un cajero no se utilice la verdadera tarjeta de débito, ya que el lector sólo registra la banda magnética, entonces se puede pasar cualquier tarjeta vieja o de otros servicios (supermercado, estacionamiento, etc.) y la puerta se va a abrir igual. Otra forma es que el delincuente soborne al mozo o al cajero de un comercio en lugares donde hay mucho pago con tarjeta: cuando el cliente la entrega, la pasan también por este clonador que en el momento hace una réplica de los datos. Después, se necesita -aunque no en todos los casos- el PIN, al que llamamos segundo factor de seguridad, es decir, el primer factor es algo que tengo: la tarjeta, el segundo algo que sé: el PIN. Para obtener este segundo dato también son varias las modalidades; una es el engaño persona a persona que se produce cuando alguien entra al cajero y hace como si ayudara al cliente, otra es colocar una “camarita” arriba del cajero o un falso teclado arriba del real. Todo eso es a nivel físico. Hay que considerar por otro lado el daño a través de sistemas electrónicos o telefónicos, como el phishing, que opera a través de una suplantación de identidad: me hago pasar por una institución que la víctima reconoce, un banco por ejemplo, le escribo y pido los datos, y puedo sumar un llamado telefónico para reforzar el engaño.

Sobre este tema, Temperini presentó hace dos años un proyecto de ley ante el Senado de la Nación porque actualmente no es delito el phishing. “Hacerse pasar por otra persona para obtener datos confidenciales no es delito hasta que no queda configurada la estafa; recién allí hay un perjuicio patrimonial”, explicó. La iniciativa fue defendida ante la Comisión de Justicia y Asuntos Penales pero no prosperó.

 

El dato

UN REGISTRO

  • www.odila.org es el sitio del Observatorio de Delitos Informáticos de Latinoamérica que integra, entre otros expertos, Marcelo Temperini. Allí se pueden reportar las denuncias, conocer si en el país de origen el hecho constituye o no un delito y, en ese caso, cómo actuar. También se ofrece un glosario y un reporte anual: el de 2016 indica 1.260 denuncias de 21 países, la mayoría por hacking, fraude o estafa informática y suplantación de identidad.

—Todo lo que hacemos en Internet deja una huella.

—Todo. Esa es una ventaja porque, desde el punto de vista de la investigación, se puede rastrear la estafa; está en la habilidad del delincuente esconder sus rastros. Pero siempre quedan rastros, lo que pasa es que pueden ser pistas falsas. En cualquier caso es muy importante que la gente denuncie, para que se puedan visibilizar estos casos al Estado. El año pasado tuvimos la posibilidad de formar parte del cuerpo de docentes en una serie de capacitaciones realizadas en Santa Fe, Rosario y Venado Tuerto a través de la Escuela de Capacitación del Ministerio Público de la Acusación de la provincia, donde fueron capacitados fiscales y empleados del MPA y personal de la PDI sobre la utilización de tecnología en la investigación de los delitos. Es prioritario apostar a la capacitación para que estén más preparados, tanto para el momento de recibir la denuncia, como para poder llevar adelante una investigación efectiva.

—La denuncia se hace siempre ante el hecho consumado.

—La hace la persona cuando fue estafada; por lo tanto fue víctima de un delito penal y tiene que ir a la fiscalía. La otra alternativa es avisar lo más rápido posible a la entidad bancaria. La mayoría de los bancos está muy al tanto de estas maniobras y son los primeros interesados en actuar para que el hecho quede en un marco de confidencialidad. Aparte están asegurados en este tipo de estafas. En cualquier caso, es importante que el usuario esté atento y cuando le falte dinero, realice la denuncia ante el organismo que corresponda, la fiscalía y la entidad bancaria, para evitar que siga sucediendo y el hecho pueda ser investigado.

—¿Aún así sigue siendo fácil y conveniente hacer operaciones por Internet?

—El comercio a través de Internet creció muchísimo y tiene grandes ventajas, por ejemplo, en el tema de la información: cuando se compra a través de la red se puede comparar. El comercio electrónico hizo a este mercado mucho más horizontal. Pero la recomendación es comprar en sitios seguros y serios, que utilicen el protocolo de seguridad, y darle mucha importancia al sistema de puntajes que tienen los vendedores. Por otra parte, conviene no ingresar datos confidenciales a través de canales que no son seguros porque es posible que alguien los intercepte y pueda robarse esos datos. Una recomendación es realizar esas operaciones desde la casa o donde haya una red de Wi-fi confiable. Y nunca está de más recomendar el uso de contraseñas seguras, ya que hay gente que sigue ingresando, por ejemplo, con su número de documento.

—Si todavía hay muchas personas que tienen un acceso limitado a Internet, deben ser muchas más las que desconocen de códigos y demás cuestiones de seguridad.

—Para nosotros que trabajamos en seguridad, el tema de la concientización es un desafío. La seguridad siempre va a contramano de la funcionalidad: cuanto más seguro se hace, más molesto va a parecer. En general, el usuario quiere que las cosas sean sencillas y además existe la fantasía de “quién me va a querer hackear”. La verdad es que el delito informático es horizontal, no importa de qué clase social seas ni en qué barrio vivas. Vas a ser una víctima igual. Eso no ocurre con otros delitos. Por eso es tan alta la tasa de delitos informáticos.

—¿Hay cifras?

—No. Uno de los problemas para mi doctorado es que no existe la “cifra blanca” que es la cifra oficial acerca de la cantidad de delitos que ocurren. De hecho soy uno de los directores de un proyecto que se llama Odila, Observatorio de Delitos Informáticos de Latinoamérica, y el objetivo es que la gente pueda ingresar y contar lo que le pasó. El sistema dice si eso que pasó, según el país, es delito o no. Y si es delito, qué artículo se puede aplicar y qué acción se puede iniciar. Tiene un doble objetivo: aportar información a la gente que desconoce si lo que sucedió se puede denunciar, y contar con el dato, que es anónimo. Hasta el momento publicamos dos informes que muestran la cantidad de delitos que ocurren.

—¿Cómo está la Argentina en relación con Latinoamérica?

—Desde el punto de vista normativo está bien. Como investigador, mi tarea es detectar lo que no funciona, así que soy muy crítico en esto. Tenemos algunas buenas normas, como la Ley 25.326 de datos personales tiene 16 años y casi nadie la conoce, la gente ni siquiera conoce sus derechos. En este sentido, se da el efecto que desde el punto de vista de los “papeles” estamos bien en el contexto latinoamericano, pero muchas veces es un cumplimiento teórico que no se ve reflejado en la práctica con el cumplimiento efectivo de lo que dicen esas normas.

U 4 B - COMPRA-ONLINE-1-1.jpg

“Es importante invertir en cosas intangibles, en capacitación y en recursos adecuados que permitan detectar e investigar realmente los delitos informáticos”.

Lo importante

LA LEY

  • Desde hace 16 años rige en el país la Ley 25.326 cuyo objeto es la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional.

EL CÓDIGO

  • La Ley 26.388/08 modificó artículos del Código Penal, tipificando algunos delitos informáticos. Casos mediáticos como el de Lanata, fueron algunos de los que impulsaron esta reforma, porque hasta ese momento, esas acciones no podían ser consideradas delitos, toda vez que en el Derecho Penal no puede aplicarse la analogía. Esta norma modificó el artículo 153 y se incorporó el 153 bis que tipifican el acceso indebido a un sistema o dato informático de acceso restringido. Es, básicamente, lo que la gente considera como hacking. Además, la reforma incorpora el cracking, que es el daño informático; la denegación de servicio, que es cuando se bloquea el acceso a un sistema, y agrega el inciso de estafas informáticas. “No son tantos los delitos, sino más que nada modificaciones; no tenemos a nivel normativo en el Código Penal, una sección especial de delitos informáticos”, señaló Temperini.

Además, la ley sustituye el artículo 128 relacionado con pornografía infantil: hoy no es delito la tenencia de pornografía infantil, sí lo es la tenencia con fines inequívocos de distribución o comercialización. En ese punto, evaluó que la corrupción de menores a través de Internet, conocido como grooming es una de las facetas más graves de lo que está pasando. “Hoy es casi imposible que un chico de entre 10 y 14 años en algún momento no se cruce con algún delincuente que, a través de perfiles falsos, le pida fotos o haga algún ataque a su integridad sexual”.