El riesgo de TIC”s. Tecnologia de la informacion y la comunicación
Compartir en TwitterEl riesgo de TIC’s
Tecnologia de la información
y la comunicación
Ya se nos han instalado casi sin darnos cuenta toda una serie de palabras, conceptos y siglas que en ocasiones suenan de manera abrupta, otras de manera hostil y en ocasiones incluso nos evocan malos recuerdos. ¿Quién no se ha peleado educadamente con una PDA, quién no ha lidiado con las IP’s dinámicas de su conexión ADSL a Internet o con el servidor POP3 de su e.mail, quién no ha tenido algún encontronazo con su PC, con el RSS de su teléfono 3G o con su smartphone? Ya no podemos ir al banco sin que nos recuerden que no tenemos dada de alta una segunda tarjeta de crédito, que se nos caduca la tarjeta e-cash o que nos miren con condescendencia cuando solicitamos un talonario de cheques y muy discretamente nos sugieran que utilicemos la banca on-line. Y es que todas estas siglas, conceptos y palabras que nos suenan a alguna lengua bárbara se han ido introduciendo en nuestras vidas y ya no concebimos nuestra realidad sin ellas, han aparecido y se nos han implantado oliendo a novedad, a atractivo, a necesidad, a rapidez y de manera casi sibilina se han convertido en artículos imprescindibles, de primera necesidad, sin los que ya la economía local, regional y ya no hablemos de la mundial, nos parecen impensables e inviables sin su ayuda.
En la parte más reciente de la Historia contemporánea, hemos pasado de la sociedad industrial a la sociedad de la información y de la tecnología, de la economía rústica a la macroeconomía controlada por tecnología de alto standing, de la economía local a la global. Estamos ya ante un escenario sin fronteras donde uno de los elementos más predominantes, sino el que más, es el económico y donde junto a la economía lícita aparece la economía criminal global, la cual se beneficia y sostiene en las infraestructuras que proporciona el sistema financiero internacional. Éste padece de débiles controles y rápidos movimientos de capitales gracias a la implantación generalizada de las nuevas tecnologías de la información y la comunicación (TIC).
Es por todo ello que nos encontramos ante un campo de cultivo recién estrenado, arado y abonado donde hemos sembrado de manera acelerada, poco pausada, sin tiempo casi para el asentamiento y para la costumbre, donde ya empezamos a recoger los frutos … y las malas hierbas. En la implantación de las TIC apenas la tecnología se renueva y perfecciona, ya la tenemos implantada en nuestros hábitos diarios y ¿cómo no? este es el nuevo campo abonado de acción donde los mismos delitos se cometen con nuevas formas, comisiones delictivas eternas con formas novedosas que gracias al desconocimiento y al asentamiento tienen cancha para abrirse camino, para crecer casi sin esfuerzo.
Entre los factores que han favorecido la aparición de esta problemática podemos contar el borrado de las fronteras en Europa, el libre movimiento de personas, bienes y capitales en el marco de la unión aduanera, la falta de uniformidad legislativa, la descoordinación de los sistemas penales internacionales, la evolución y expansión de las TIC y la dependencia de la empresa privada a las TIC para resistir en el mercado, entre otros. Como consecuencia, en este escenario observamos la aparición de nuevas modalidades delictivas como la intrusión a los sistemas informáticos, el riesgo de la interceptación fraudulenta de las comunicaciones telefónicas, la falsificación impecable de las tarjetas de crédito, la difusión no controlada de obras y derechos protegidos por la propiedad intelectual e industrial, el sabotaje a sistemas informáticos y a sus redes, la falsificación de moneda, la falsificación de documentos electrónicos, nuevas estafas a sistemas financieros como la banca electrónica y otros ejemplos que en ocasiones pueden parecer ser incluso más grandes que las ventajas que ofrece.
Ya nos parece lejos en la tecnología pero no en el tiempo las primeras experiencias en delitos informáticos como fue un caso de los años sesenta en el que se defraudaba a la compañía telefónica americana AT&T mediante la bautizada como caja azul , objeto que no era mas que un dispositivo electrónico que falseaba una multifrecuencia de marcaje electrónico y permitía hacer llamadas internacionales sin coste.
El delito o crimen informático no se trata de un delito nuevo o de un delito especial como en ocasiones se cree erróneamente, ya que éste no requiere de ningún elemento especial para su autoría. En definitiva es delito informático cualquier conducta típica en relación a la cual el conocimiento de la tecnología es esencial para su comisión, investigación y persecución. Estos delitos pasan en su mayor parte desapercibidos por la mayoría de la población debido a que son poco conocidos y menos aireados en la prensa si no son casos especialmente significativos, pasando de manera discreta y silenciosa, me atrevería a decir que pasan de manera casi oculta e ignorada.
Todos tenemos en nuestra memoria la noticia de un Asalto informático al Pentágono protagonizado por dos adolescentes de 16 y 17 años, hecho del que incluso se hizo guión y película, situación que puso en entredicho uno de los edificios más blindados del mundo perteneciente al Departamento de Defensa de los Estados Unidos y dotado de los mejores y más exhaustivos sistemas de seguridad. Controles de acceso que fueron vulnerados por dos jóvenes hackers que penetraron en sus ordenadores mediante la red Internet. Es evidente que si se llegó a vulnerar este sistema, el resto de arquitecturas empresariales o domésticas no estaban libres de intrusiones ilícitas. El impacto en el imaginario colectivo no fue menor que el causado por cualquiera de los actos terroristas que han podido ocurrir en nuestra sociedad.
Estudiosos del Derecho Penal hacen la distinción de la tecnología como medio de comisión o como objetivo del delito, pero en todo caso son delitos que en muchas ocasiones, especialmente en temas financieros, son de dificultosa detección debido a la difícil labor de encontrar las pruebas, y de lo que es aún más difícil si cabe, encontrarlas de manera que puedan constituir pruebas válidas en proceso judicial para inculpar e incriminar a los autores y de determinar su grado de responsabilidad. Pensemos que los delitos cometidos mediante las TIC se ejecutan habitualmente a distancia, pueden ser programados con mucho tiempo de antelación, se pueden borrar indicios e incluso se pueden introducir pistas falsas que dificultan la identificación del los autores. Este hecho se agrava cuando en delitos económicos, los perjudicados prefieren asumir los perjuicios del delito antes de que éste sea divulgado y ponga en compromiso la credibilidad de la institución, cayendo así en una inactividad que refuerza la cifra negra delictiva en este campo delincuencial.
No podemos olvidar que el perjuicio que causan los delitos cometidos a través de las TIC son considerablemente elevados en comparación a los mismos delitos cometidos por métodos ordinarios. No es desdeñable la dimensión que estas conductas pueden llegar a tener y tampoco obviable que las TIC constituyen un vehículo rápido y cómodo para los delincuentes financieros, cuestión que tampoco ha pasado por alto la Agencia Estatal de Administración Tributaria que hace escasos años ha empezado a aplicarse un elaborado Plan de Prevención del Fraude Fiscal. El director de su Departamento de Informática en entrevista concedida a la revista BOLETIC en marzo del 2005 explicaba que dicho Plan recogía supuestos de reingeniería en los procedimientos para prevenir y detectar rápidamente el fraude fiscal. Entre otros supuestos, decía Santiago Segarra, cabía destacar la propuesta de presentación telemática obligatoria del modelo de declaración del Impuesto Especial sobre determinados medios de transporte, se proponía el establecimiento de la obligatoriedad de la presentación telemática de las autoliquidaciones formuladas por los sujetos pasivos que solicitan devoluciones mensuales en el IVA (exportadores y otros operadores económicos), lo que además de agilizar la tramitación de las devoluciones permitiría disponer de la información necesaria para verificar que se satisfacen estas devoluciones con las necesarias garantías, entre otras medidas. Se concluye la entrevista con la idea de que la AEAT realiza, una vez más, una decidida apuesta por el uso de las TIC para realizar una de sus funciones emblemáticas: la prevención y corrección del fraude. Frase sin duda sobre la que reflexionar.
Con la aparición de Internet a nivel de uso doméstico llegando así a una buena parte de la población y la falta de conocimientos de gran parte de los usuarios, especialmente en cuestiones de seguridad, se pone de manifiesto la proliferación de los delitos de estafa. Así se han dado conductas como la ingeniería social para obtener códigos de usuario y passwords de los usuarios de la banca electrónica, envío de correos electrónicos simulando proveer de entidades bancarias donde aparecen logotipos de las entidades requiriendo dichos códigos de acceso, webs de subastas donde se “adquiere” un producto que nunca llega o incluso se pueden adquirir sin saberlo objetos provenientes de receptación, instalación de programas “dialers” mediante los cuales se cambia la configuración de la conexión a Inet del ordenador a un número de tarificación especial, …
El delito económico o de cuello blanco ha sido tradicionalmente aquel delito cometido por una persona respetable y de alto status social. Los delitos económicos clásicos, como los timos, las pequeñas estafas a comerciantes y bancos, han pasado a constituir anécdotas en la etapa actual. Se cometen actualmente estafas utilizándose el entramado jurídico-económico que presentan profesionales del derecho y economía a modo de estructuras de verdadera ingeniería y que la judicatura prácticamente asiste impotente en su investigación y que requiere formar equipos policiales de especialistas. Los delitos económicos que se dan en la actualidad son los ilícitos penales recogidos en nuestro CP como defraudaciones en general, estafas, apropiación indebida, insolvencias punibles, delitos contra la propiedad industrial e intelectual, delitos contra el mercado y los consumidores, delitos societarios, delitos de receptación, blanqueo de capitales, delitos contra la Hacienda Pública y contra la Seguridad Social, delitos contra los trabajadores y las falsedades.
En definitiva, estamos hablando de un amplio espectro de delitos que tienen esa finalidad aunque algunos no estén encuadrados en el Capítulo VI del actual Código Penal.
En el caso concreto de las estafas, según el tipo que recoge nuestro CP, requiere de dos elementos para su comisión: la utilización de engaño bastante por el autor del delito y la producción de un error en la víctima del mismo. La necesidad de que se den los dos elementos del tipo, no permitía en muchas ocasiones poder calificar un hecho como de estafa cuando ha tenido lugar mediante la utilización de un medio informático o cuando éste ha estado presente en la acción delictiva de cualquier otra forma. Pensemos que no es posible aplicar el delito de estafa realizada por una persona utilizando el PC de un cibercafé o de su domicilio logrando la transferencia bancaria de la cuenta de un tercero a una de su titularidad. En este supuesto sí existe el ánimo de lucro, puesto que el estafador actúa guiado por ese afán de enriquecerse económicamente, y el perjuicio a tercero, puesto que se produce un detrimento económico a otra persona, pero sin embargo no aparecen estos dos elementos anteriormente señalados, el engaño a tercero y el error bastante, y ello porque el autor del delito no ha utilizado ninguna treta ni artimaña para engañar a la víctima, para viciar la voluntad del tercero, puesto que la acción se ha producido a través de una máquina, el ordenador, y como consecuencia tampoco cabe plantearse la producción de error por el mismo motivo.
Es por ello que en los casos en que se producían estas defraudaciones informáticas, se creó la necesidad de ajustar los hechos a los tipos existentes, sin embargo se comprobó que no era del todo posible. Este desajuste se evidenció en unos hechos resueltos por el TS en 1991, en la que se calificó la conducta de un empleado de banca que manipuló las cuentas corrientes de varios clientes utilizando un ordenador y se hizo con más de 3.000.000 pesetas. La sala consideró que no hubo estafa, sino apropiación indebida ya que no hubo engaño en las victimas que les llevara a producirles el error necesario que les indujera a realizar esa disposición patrimonial a favor del autor del delito. Con la aprobación del nuevo Código Penal en 1995, se introdujo el artículo 248 que recoge el concepto tradicional de estafa y todas aquellas conductas defraudatorias llevadas a cabo mediante manipulaciones informáticas o estafas informáticas.
Tenemos en nuestras mentes los diferentes métodos de comisión de pequeñas estafas, métodos que por otro lado nos pueden parecer casi pueriles o ridículos, el menudeo de la estafa llamado timo del nazareno, la herencia, el tocomocho, etc.… Grandes clásicos que palidecen ante la envergadura que gracias a las TIC los timadores actuales pueden llegar a conseguir, llegando incluso a dirigir empresas o a operar a bajo nivel pero con multitud de victimas gracias a Inet, multiplicando así sus ganancias exponencialmente y la variedad de su público, escapan así del reducido público que puede “picar” en la estampita y se abren a un mercado amplísimo de millones de internautas que apuestan on-line o que compran incautamente objetos que nunca llegan o que no cumplen con lo pactado.
Basándonos en datos recogidos por las diferentes Administraciones y por organizaciones como IQUA o la FTC (Federal Trade Comisión), las estafas más frecuentes cometidas mediante las TIC en España son: estafas con tarjetas de crédito (robo y uso fraudulento), estafas clásicas y nuevas (nazarenos, tocomochos, estampitas,” rip deal”, etc.), estafas financieras (Bancos, Cajas, Financieras, etc.), falsedades documentales (documento. privado, mercantil, oficial), timos más actuales (radiografía, negativo o cliché..), falsificación de moneda, credi-compras (relacionados p.e. con compras de vehículos financiados y que posteriormente son vendidos a terceros que no son precisamente de buena fe), delitos contra la propiedad intelectual e industrial , etc.
Fuera del territorio nacional, las conductas más observadas son:
Fraude en subastas: después de enviar su dinero, recibe un producto de menor valor que el prometido o de ningún valor en absoluto. Muchos piensan que el portal donde se anuncian los oferentes garantizan la operación comercial.
Abuso de tarjetas de crédito: se le solicita su número de tarjeta de crédito por razones de seguridad y luego se le pasan cargos difíciles de cancelar. En este caso hay multitud de estafas.
Marketing Multinivel/Timos de pirámides: se le promete hacer dinero a través de productos y servicios que usted mismo venderá, así como a través de los vendidos por gente que usted reclute. A la hora de la verdad, resulta que sus clientes son otros distribuidores, no el público, y su inversión desaparecerá.
Oportunidades de Negocio y Timos “Trabaje desde casa”: se le promete un buen negocio del que usted será su propio jefe, ganando cantidades fabulosas de dinero. Por supuesto, después de que invierta sus ahorros en esta maravillosa oportunidad de negocio, resulta que todo era humo.
Esquemas de inversión y Timos tipo “hágase rico rápidamente”: puede perder su dinero confiando en programas o servicios que supuestamente predicen la evolución del mercado con una precisión del 100%. Se están dando muchos casos en la actualidad en donde acaban atrapados muchos inernautas en redes de blanqueo de dinero dirigidas por organizaciones criminales del Este de Europa que defraudan por sistemas de phishing y pharming.
Fraude en Viajes/Vacaciones: compañías fraudulentas le mienten respecto a sus paquetes de viajes, ofreciéndole alojamiento y servicios de inferior calidad a la pagada, o le cargan por conceptos que no aparecían en el contrato.
Fraudes telefónicos: sin que usted lo sospeche, mientras ve toneladas de fotos y vídeos porno utilizando ese programa que debe instalar en su ordenador, el módem se desconecta silenciosamente y marca un número internacional o un teléfono con prefijo 803 u 807, para acceder a Internet a través de un ISP en el extranjero. Ni que decir tiene, la factura de teléfono será astronómica.
Fraudes de Atención Sanitaria: ¿Que sufre una enfermedad incurable? No se preocupe, aceite de serpiente a la venta a módico precio que curará ésta y cualquier otra dolencia incurable o un supuesto medicamento que resulta ser, en el mejor de los casos, inocuo.
Uno de los puntos de preocupación que tienen los distintos agentes económicos que intervienen en el comercio electrónico es el de seguridad o gestión del riesgo en la realización de negocios o transacciones a través de redes de telecomunicaciones, especialmente Internet.
La seguridad de la red de comunicaciones implica garantizar el acceso controlado desde el cliente (peticionario) al servidor, la integridad en la transmisión de la información por la red y la confidencialidad de los datos transmitidos por la misma, en los casos necesarios.
Una política de seguridad consiste en la especificación de los requisitos de control de acceso a la información y otros activos en una organización. Estos requisitos son los que dicen que las acciones son permitidas y cuales están prohibidas o restringidas y quien está autorizado y quién no. Las funciones de seguridad mínimas necesarias para implantar un sistema de comercio electrónico son:
Autenticación: se trata de verificar que cada uno de los participantes en la transacción es quien dice ser. La autenticación se resuelve mediante el identificativo de usuario y contraseña en el caso del remitente, y de las firmas digitales o certificaciones realizadas por las autoridades legalmente reconocidas en el caso de los receptores.
Integración: garantizar que el mensaje no ha sido modificado por el camino, alterándose el pedido, el importe, el número de cuenta, etc. La integridad se resuelve mediante la incorporación de firmas digitales que impiden la modificación de datos enviados.
Confidencialidad: conseguir la privacidad de los datos impidiendo que terceros puedan entender la información que se envía. La privacidad o confidencialidad se consigue mediante sistemas de cifrado o encriptación de la información. Los más aceptados hoy son los que funcionan mediante el esquema de clave simétrica (pública/privada).
No repudio: una vez aceptada una relación comercial entre el origen y el destino, ésta no podrá ser rechazada. Debe aportarse la prueba de que un mensaje se envió en realidad. Los mecanismos de no repudio consisten en la existencia de validez legal de la firma digital.
Muchas de las ventajas potenciales del comercio electrónico se ven hoy aún mermadas por la falta de confianza en los mecanismos de securización disponibles para aminorar el riesgo. Entre los riesgos específicos podemos destacar fraude, interrupción del servicio y degradación, corrupción de la integridad de los datos, intercepción en la información confidencial, violación de la privacidad, sabotaje y vandalismo, errores u omisiones, usos del sistema no autorizados y violaciones de la propiedad intelectual. Teniendo en cuenta estos riesgos, destacaremos algunas de las formas de seguridad más comunes.
Los certificados representan el corazón de las transacciones electrónicas. Gracias a ellos, las partes involucradas en el trámite pueden confiar en una total seguridad del proceso. Esta confianza se establece a través de un tercero, por ejemplo VISA, que ha desarrollado, como antes se ha comentado en el apartado de Banca Electrónica, una serie de medidas encaminadas a validar todo el proceso mediante un software que permitirá efectuar una operación o transferencia con las más altas garantías. Este nuevo sistema, denominado SET (Secure Electronic Transference), permite autentificar la identidad de los participantes en las transacciones bancarias o comerciales, convirtiendo el ciberespacio en un lugar más seguro para efectuar negocios, con el fin de estimular la confianza del consumidor.
En el momento en que se efectúa la transacción, el software que cumple las normas SET de cada entidad participante en la transacción, verifica y confirma la identidad del comercio y del la persona titular de la tarjeta, a través de estos certificados digitales, antes de que se intercambie ningún tipo de información. Pero la base de esta tecnología reside en los códigos secretos y lo cierto es que el comercio electrónico tiende a apoyarse en la criptografía, es decir, en el arte de utilizar estos códigos secretos, siendo el mecanismo por excelencia en el cifrado de la información.
La metodología de fraude a las tiendas virtuales acostumbra a ser muy similar. Así los denunciantes perjudicados que suelen ser los responsables legales de empresas que utilizan el comercio electrónico como sistema de venta de sus productos a través de Internet, manifiestan en sus denuncias que han librado una serie de mercancías, que acostumbran a ser artículos vinculados con la informática y telecomunicaciones (ordenadores portátiles, PDA’s, telefonía móvil, accesorios, cámaras digitales, etc.) y después el banco les ha devuelto el abono efectuado dado que la tarjeta de crédito con la cual se realizó la compra es “incorrecta”. Es decir, ha efectuado una venta a una persona a través de su página web y el pago se ha realizado con una tarjeta de crédito sustraída, falsificada, doblada o inexistente.
A esto se une el hecho de que las comunicaciones con el cliente, el comercio virtual las realiza a través de correos electrónicos facilitados por el comprador, que en estos casos facilitan cuentas de correos gratuitos abiertas con datos no reales, falsos o inventados y por teléfonos móviles que también son facilitados por el comprador y que en estos casos suele corresponder a números de prepago que todavía hoy no requieren de titular, no comprobando ningún otro dato de identidad o domicilio.
Así el estafador con la ayuda de un ordenador, teléfono móvil o PDA y una conexión a Inet que puede ser la de un cibercafé o la de una red pública gratuita ofrecida libremente mediante la tecnología Wi-Fi o incluso mediante la de una red doméstica inalámbrica de un vecino, accede a la página electrónica del comercio virtual y, a través de unos sencillos menús se van eligiendo los productos deseados, que se incorporan a una “cesta de la compra”, que acumula los productos objeto de adquisición. A continuación rellena unos datos personales y, tras pulsar una opción de comprar, finaliza la operación, cuya tramitación a efectos bancarios no es realizada por la propia empresa, sino que se lleva a cabo mediante un tercero, en este caso el banco que mantiene la cuenta con el comerciante, que procesa la información y la valida a través de un entorno seguro.
Utilizando este procedimiento, usuarios con una dirección de correo electrónico de un proveedor gratuito (como podría ser Hotmail), con domicilio social y ubicación física en cualquier país, puede realizar varios pedidos que debían ser entregados en su supuesto domicilio que no es otro que un establecimiento público o en la propia calle, donde el estafador espera al mensajero habiendo incluso pactado telefónicamente día y franja horaria de entrega. Durante el transcurso de las operaciones se intercambian habitualmente numerosos mensajes de correo electrónico, referentes al tipo de material informático solicitado, agencia de transportes encargada del traslado de la mercancía, momento y forma de entrega, y otras circunstancias finalmente provocadas por el solicitante para genera la confianza del comerciante y llevar a cabo la recogida de los paquetes en el propio almacén del transportista, dada la falsedad del domicilio facilitado.
Todo el sistema ideado, fotocopia de documentos falsos, utilización fraudulenta de tarjetas de crédito, previsible uso de un teléfono móvil con tarjeta prepago que impide la identificación del abonado, dirección de correo electrónico hospedada en el extranjero y domicilio simulado, se completaba con el empleo de un servidor de Internet ubicado en un local público, desde donde se efectúan las conexiones para la solicitud de los diferentes productos anunciados en las páginas de la empresa vendedora, etc. …, pone de manifiesto la necesidad de combinar métodos tradicionales de investigación, en algunos casos más rápidos y eficaces, con otros que requieren una mayor duración y complejidad, ya que se trata de datos técnicos que, con las preceptivas autorizaciones judiciales, deben ser proporcionados por terceros, generalmente del sector empresarial, ajenos a la necesaria diligencia que se requiere en el curso de la actuación policial en este tipo de delitos cometidos a través de las redes de comunicaciones. Todo ello se dificulta, como viene ocurriendo en la actualidad, cuando el creciente uso fraudulento de las tarjetas de débito o crédito se produce para la obtención de diferentes servicios electrónicos a través de Internet, sin entrega física de mercancía y las operaciones se realizan en el extranjero. En este caso, teniendo en cuenta que existen procedimientos sencillos para conseguir números válidos de tarjeta, incluso programas que los generan, la impunidad viene facilitada por la escasa agilidad del procedimiento que se ha de emplear al efecto, a través de las oportunas comisiones rogatorias internacionales.
Y así podemos seguir con otras figuras delictivas que tanto en el ámbito de los delitos económicos como a lo largo de todo el resto de nuestro CP, gracias a las TIC’s encuentran hoy en día un gran campo abonado en el que subsistir y en el que se trabaja desde diferentes ámbitos tanto públicos como privados para combatirlos y perseguirlos no sin dificultades pero con un gran porcentaje de éxitos que devuelven la confianza a los usuarios.
Cristina Romero
Licenciada en Criminología