Lic. Mario A Gómez Sánchez

Coordinador del Comité de Privacidad y Protección de Datos Personales en AMDI

 

Entre los delitos informáticos, el robo de identidad empresarial o corporativa no figura dentro de los marcos jurídicos nacionales e internacionales. En consecuencia, ante el robo de información relacionada con sus finanzas, clientes, socios, personal y proveedores, las organizaciones quedan desprotegidas y los grupos criminales impunes.

Durante 2017, se registraron 4.8 millones de reclamaciones de posible fraude en el sector financiero, según estadísticas de la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (Condusef). Al respecto, sobresale que cerca de la mitad de los casos (49%) tuvieron origen en el comercio electrónico. En comparación con reportes anteriores, presentó un incremento del 109%, puesto que en 2011 sólo representaba el 8% del total de las reclamaciones. 1

Tal disparidad en los indicadores demuestra la preocupación e interés creciente por conocer a fondo los diferentes tipos de fraude financiero que asechan principalmente en internet. De acuerdo con la Condusef, las actividades delictivas más frecuentes en el comercio electrónico son la suplantación de identidad, el robo de datos personales, las campañas falsas de afiliación, las compras trianguladas y el hackeo de cuentas.

Aunque se han tipificado dichas transgresiones para su adecuada identificación, el avance acelerado de las tecnologías de la información demanda una continua revisión de los procedimientos, tácticas e instrumentos para su operación. Especialmente, desde la visión legal ha sido necesario un análisis meticuloso sobre las nociones técnicas y jurídicas que implica la problemática de los denominados delitos informáticos.

¿Qué son los delitos informáticos desde el ámbito legal?

 Tomando como referencia el “Convenio de Ciberdelincuencia del Consejo de Europa”, podemos definir los delitos informáticos como: “los actos dirigidos contra la confidencialidad, la integridad y la disponibilidad de los sistemas informáticos, redes y datos informáticos, así como el abuso de dichos sistemas, redes y datos”. Frente a la rápida reconfiguración del ciberespacio, las leyes en la materia entran en un grave conflicto: no se puede determinar el tiempo ni el lugar donde fue programado el agravio.

La validez del espacio en los delitos informáticos es un problema serio, debido a que la ley penal se distingue por su aplicación territorial. Entonces, el carácter transnacional de internet pone en ventaja a los criminales que operan en la red. No obstante, para frenar dicha actividad ilícita, se ha incorporado a los Códigos Penales algunas clasificaciones. Entre las omisiones tipificadas, sobresalen dos: el robo de identidad y el robo de información. Aunque suelen confundirse, ambos se ejecutan de formas y con fines distintos. Los delitos informáticos tienden a proliferar y evolucionar, lo que complica aún más la identificación y persecución de estos.

Puntualizaciones del robo de identidad

El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) define al robo de identidad como “la apropiación de la identidad de una persona, para hacerse pasar por ella, asumir su identidad frente a terceros públicos o privados, a fin de obtener ciertos recursos o beneficios a su nombre”. 2 En otras palabras, a través del robo y tratamiento ilícito de la información personal almacenada, compartida o transmitida en los medios o cuentas digitales, se suplanta la identidad.

Sobre este último delito, existen dos variantes frecuentes. La primera es la usurpación de cuentas personales en plataformas digitales como las redes sociales; los criminales roban la información del individuo para hacerse pasar por él frente a los demás usuarios. La segunda también se vale del hurto de los datos personales para acceder a sus cuentas bancarias y retirar el dinero sin complicaciones.

De igual manera, el robo de identidad da pauta a la obtención ilegal de créditos o financiamientos, que generan a los titulares deudas exorbitantes, de las cuales, muchas veces, no tenían conocimiento. Por ese motivo, se recomienda siempre llevar un control adecuado de los movimientos financieros que se realizan vía electrónica, así como de los estados de cuenta en distintas entidades financieras.

Robo de identidad empresarial

En general, la mayoría de los esfuerzos para frenar este delito se concentran en las necesidades y características de las personas físicas. No obstante, las organizaciones también son blanco de los cibercriminales. Así, el denominado robo de identidad empresarial consiste en asumir la identidad de una compañía a través de la copia o clonación de su dominio (DNS), marca, portal web o aplicaciones móviles para obtener mediante engaños la información sobre sus finanzas, y datos personales contenidos en su cartera de clientes, socios, personal y proveedores.

Los nombrados sitios espejo son un fenómeno cada vez más recurrente por los criminales de la era digital. Dado que los usuarios desconocen cómo distinguir una página web falsa de la oficial o validada por la institución, los delincuentes calcan la estructura (imágenes, colores, contenido, etc.) de los sitios y operan de forma instantánea. Por ello, debe verificarse siempre que exista una conexión segura y que el dominio coincide con el nombre de la empresa.

Por lo tanto, además de causar grandes pérdidas monetarias, el robo de la identidad digital de una empresa daña su reputación e imagen. De manera pronta, las personas pierden la confianza en ella y, en ocasiones, prefieren romper vínculos e irse con la competencia.

Un reporte de la empresa de ciberseguridad Kaspersky afirma que las formas más comunes de ultrajo en el sector corporativo son el phishing, el pharming y el malware.3 De manera concreta, el phishing refiere a los correos electrónicos falsos, mientras que el pharming a la redirección de los datos de usuarios a sitios falsos. Por su parte, el malware se concibe como cualquier tipo de software malicioso que trata de infectar un ordenador o un dispositivo móvil con múltiples finalidades, tales como extraer información personal o contraseñas, robar dinero o evitar que los propietarios accedan a su dispositivo.

Asimismo, en relación con el robo de identidad empresarial, no basta con registrar la Marca o Patente ante la autoridad o adquirir el Nombre de Dominio para frenar su usurpación o uso indebido en internet. En principio, se debe conocer e identificar a la persona o empresa que está usando indebida o fraudulentamente la Marca en cuestión, lo cual resulta muy difícil de ejecutar en el ámbito digital: brinda las facilidades técnicas para lograr el anonimato. A lo anterior, se suma que no existen legislaciones específicas ni la capacitación adecuada, por parte de las autoridades encargadas, para abordar este tipo de delitos.

Desafíos legislativos frente al robo de identidad empresarial

El control y la sanción de los delitos informáticos demandan el trabajo conjunto de sistemas e instrumentos más amplios y complejos, donde se contemplen tanto cuestiones jurídicas como técnicas. En este sentido, su dificultad radica en primer lugar establecer los tipos penales específicos y, en segundo lugar, probar la comisión del delito. Dicho de otro modo, el gran problema es señalar con precisión las conductas delictivas, al autor o autores del robo, el lugar donde se efectuó y los actores afectados.

Por lo tanto, se debe garantizar que la prueba electrónica cuenta con los elementos para su plena consideración en un proceso penal. Para ello, será necesario recurrir tanto a un perito especialista en informática como a un abogado con amplio conocimiento en la materia. De manera urgente, también resulta indispensable la construcción y actualización de un marco normativo básico para los delitos informáticos, ya que la tecnología y los modos de operación cambian rápidamente.

En México, entre los recursos legales existentes para hacer frente a los delitos informáticos se encuentran los artículos 6°, 7° y 16° de la Constitución Política de los Estados Unidos Mexicanos, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, Código Penal Federal (en su Título Noveno, Capítulo II) Ley Federal del Derecho de Derecho de Autor, Ley de la Propiedad Industrial, Ley Federal de Firma Electrónica Avanzada, Ley Federal de Protección al Consumidor, la Ley Federal de Telecomunicaciones y la Ley de Protección y Defensa al Usuario de Servicios Financieros.

Asimismo, a nivel estatal se han incorporado delitos de índole informática a los códigos penales; entre las entidades que han hecho tales modificaciones se encuentran Durango, Querétaro, Guerrero, Jalisco, Morelos, Nuevo León, Hidalgo, Estado de México y Puebla. No obstante, el castigo del robo de identidad necesita la federalización de todas las tipificaciones y castigos para que, sin importar su territorialidad, pueda procesarse adecuadamente.

Conclusiones

Además de una normativa federal, los usuarios de los medios digitales necesitan contar con leyes internacionales que les protejan en un ciberespacio sin fronteras. Al respecto, valdría la pena que México reconsidere su adhesión a tratados mundiales en la materia. En este sentido, seria pertinente que firmara el Convenio de Budapest (2001), el cual busca unificar los criterios para investigar y capturar a los cibercriminales.

No obstante, ante las problemáticas del contexto actual, dicho acuerdo se encuentra desactualizado por lo que es una excelente oportunidad para México el haber sido aceptado al Convenio del Consejo de Europa para la protección de las personas con respecto al tratamiento de sus datos personales (Convenio 108). Por defender el derecho a la vida privada, este acuerdo representa el primer instrumento jurídico que vincula a distintos Estados en materia de protección de datos personales, tema igual de importante que la ciberseguridad.

El Convenio 108, constituye el único instrumento jurídicamente vinculante de carácter internacional, por medio del cual se salvaguarda el derecho fundamental de la protección de los datos personales consagrado en los artículos 6° y 16° de la Constitución Política de México. En relación con el robo de identidad empresarial, existen vacíos legales en los marcos jurídicos mexicanos que impide su oportuna y adecuada penalización. En principio, no todas las entidades federativas tipifican tal delito ni contemplan a las personas morales como posibles afectadas —sólo a las físicas—.

De alguna manera, contemplar la protección legal del sector empresarial es también mirar por la seguridad de los usuarios de los medios digitales, quienes al no contar con los recursos suficientes son aún más vulnerables. Si bien las compañías deben invertir más en instrumentos que garanticen su seguridad informática, del mismo modo, el marco jurídico del país que habitan debe avalar los medios para hacer frente a las injusticias de las que pudieran ser víctimas.

Mediante una respuesta coordinada, las empresas y usuarios del país tendrán la certeza de estar amparados en el mundo digital. Por ello, en calidad de urgente, se necesitan conceptos legales que eviten el robo o usurpación de identidad empresarial, dado que la información que tratan involucra a múltiples actores y, por ende, sus consecuencias se traducen en pérdidas o afectaciones masivas.

Fuentes

  1. https://aristeguinoticias.com/2301/mexico/reportes-de-fraude-en-sistema-financiero-aumentaron-20-en-2017-condusef/ Fecha de consulta: 17 de marzo de 2018. Aristegui Noticias. Reporte de fraude en sistema financiero aumentaron 20% en 2017: Condusef. 23 de enero de 2018.
  2. Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, Guía para prevenir el robo de identidad. México: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales, 2016, p. 4.
  3. https://latam.kaspersky.com/about/press-releases/2014_desde-la-perspectiva-viral-en-cifras-en-america-latina-predicciones-para-2015 Fecha de consulta: 13 de noviembre de 2017. Kaspersky Lab, “2014 desde la perspectiva viral en cifras en América Latina: predicciones para 2015”, 1 de diciembre de 2014.

 

Compártenos tus comentarios