Este artículo forma parte del libro El ciberespacio, un mundo sin ley, de Álvaro Écija Bernal (abogado y socio director de ÉcixGroup) especialista en derecho digital y ciberseguridad. Descárguese gratuitamente la obra completa en smarteca, la biblioteca inteligente profesional de Wolters Kluwer.
I. TRÁFICO DE PERSONAS
El tráfico o trata de personas, también conocido como comercio de seres humanos o trata de blancas es uno de los delitos que más ha crecido en la actualidad. Con la aparición de internet ha visto como sus redes se han podido extender a todos los rincones del planeta, hasta convertirse en un problema global.
1. Supuesto
La definición de trata para el mundo físico, se dio en la Convención contra la Delincuencia Organizada Transnacional, promovida por Naciones Unidas en el año 2000, en Palermo, Italia:
«Por "trata de personas" se entenderá la captación, el transporte, el traslado, la acogida o la recepción de personas, recurriendo a la amenaza o al uso de la fuerza u otras formas de coacción, al rapto, al fraude, al engaño, al abuso de poder o de una situación de vulnerabilidad o a la concesión o recepción de pagos o beneficios para obtener el consentimiento de una persona que tenga autoridad sobre otra, con fines de explotación. Esa explotación incluirá, como mínimo, la explotación de la prostitución ajena u otras formas de explotación sexual, los trabajos o servicios forzados, la esclavitud o las prácticas análogas a la esclavitud, la servidumbre o la extracción de órganos».
Es decir, se trata de la captación de personas haciendo uso del engaño o la fuerza, unido a su transporte de un lugar a otro, para ser explotadas posteriormente.
Es importante distinguirlo de la trata de migrantes, ya que esta última consiste en facilitar la entrada ilegal de una persona en un Estado extranjero, para obtener un beneficio financiero o material, con lo cual son dos conceptos diferentes. El tráfico de migrantes es consentido por las victimas voluntariamente, sin acabar en la explotación, y siempre con un elemento de transnacionalidad.
En internet, esto es diferente ya que no existe el transporte físico. Sin embargo se utiliza la web para contactar y captar a las personas, de forma que puedan ser accesibles en el mundo físico para terminar de cometer el delito. Se usa la red para acceder a las posibles víctimas, y una vez se consigue ese acceso, ya fuera de ella, se produce el traslado y posteriormente la explotación, en todas las formas que tenga.
Se puede denominar la web por lo tanto como uno de los medios donde comienza la trata, se prepara el delito y se selecciona a la víctima.
Siguiendo la línea marcada por las Naciones Unidas, la Cibertrata de personas se podría definir como la captación y sugestión de las víctimas, por medio de amenazas, uso de coacciones, fraude, engaño, abuso de poder y de una situación de vulnerabilidad, o mediante la concesión o recepción de pagos o beneficios para obtener el consentimiento de una persona que tenga autoridad sobre otra, con el fin de proceder posteriormente en el mundo físico al traslado, transporte y/o acogimiento de estas personas, para explotarlas en el sentido amplio de la palabra.
A día de hoy, el tráfico de personas mueve cifras cercanas a los 30.000 millones de dólares. Si bien es difícil cuantificar a escala mundial las dimensiones, se cree que anualmente unas 800.000 personas (1) son objeto de trata a través de las fronteras internacionales, al tiempo que muchas otras lo sufren dentro de las fronteras de sus propios países. Con la llegada de internet cada vez a más rincones y sociedades, las cifras crecen cada año.
2. Análisis
En el ámbito territorial, la mayoría de los Estados regulan esta conducta conforme a las bases marcadas por la Convención contra la Delincuencia Organizada Transnacional, y al protocolo que se firmó entonces, para Prevenir, Reprimir y Sancionar la Trata de Personas, Especialmente Mujeres y Niños.
Los Estados no solo recogen como delito la trata, sino que promueven la protección de la privacidad y la identidad de las víctimas, la adopción de medidas apropiadas que les permitan permanecer en su territorio, y el establecimiento de mecanismos de prevención e intercambio de información inter-partes.
Así, se recogen dos tipos diferentes de legislación en este sentido, por un lado la creación de Leyes Ad-Hoc para el tratamiento de esta conducta, o la creación de artículos o capítulos especiales en los Códigos Penales generalistas ya existentes.
Así, por ejemplo, en el Estado de Texas, en EEUU, se recoge una definición muy similar a la de la Convención en el Código Penal, y se castiga como delito grave de segundo grado, con pena de prisión no mayor de 20 años, ni menor de 2 años, además de la imposición de una multa que no exceda los 10.000 dólares, según los arts. 20.A y 12.33 del propio Código.
Pero, por ejemplo, también España carece de una ley integral que favorezca la lucha y la persecución de este fenómeno, pero en este caso se ha firmado un Protocolo Marco de Protección de las Víctimas de Trata de Seres Humanos, (28 de octubre de 2011) y se recoge el tratamiento de manera muy extensa y detallada en el Código Penal.
Como ejemplo de leyes ad-hoc, podemos encontrar numerosas entre los países latinoamericanos como por ejemplo en Chile, México o Argentina, entre otros.
Por último, es muy importante hacer mención para este análisis a dos entes internacionales encargados tanto de la vigilancia y control de la aplicación de estas normas en los diferentes Estados, como de velar por la progresión en la lucha contra la trata de personas: La Oficina de las Naciones Unidas contra la Droga y el Delito, y la Organización Internacional para las Migraciones (IOM).
Si pasamos al ámbito de internet, dado que la cibertrata de personas se puede realizar mediante el contacto y acceso con otras personas a través de otras conductas como el engaño, el abuso o el chantaje, la manera de encontrar ordenada esta conducta es a través de su manifestación mediante una de ellas.
En este sentido, por ejemplo en Facebook el tratamiento de una conducta delictiva de los usuarios se lleva a cabo a través de los Términos y Condiciones, y de las Normas Comunitarias, pero efectivamente no se menciona directamente la conducta de la trata de personas. Estos términos prohíben:
- * Que los usuarios intimiden, molesten o acosen a otros usuarios.
- * Utilizar el servicio para actos ilícitos, engañosos, malintencionados o discriminatorios.
- * Publicar contenido o realizar acción en Facebook que infrinja o vulnere los derechos de terceros o que vulnere la ley de algún modo.
Las manifestaciones de la trata de personas en internet se pueden dar a través de esos actos prohibidos, por lo tanto es una conducta implícitamente prohibida, y perseguible de la misma manera que el resto de acciones prohibidas en esta plataforma.
Otro ejemplo puede ser el tratamiento que realiza Line, que en sus Términos y se prohíbe:
- * Cualquier actividad que viole las leyes, reglamentos, solicitudes gubernamentales, y órdenes judiciales.
- * Cualquier actividad que promueva actividades ilegales o altere el orden público, o que se considere abusiva, dañina o inadecuada.
- * Anunciar, transmitir o solicitar cualquier material, información, mensaje o contenido que sea ilegal, hostigante, asediante, amenazante, abusiva, discriminatoria o de cualquier otra forma objetable u ofensiva.
- * Usar el servicio con fines sexuales o actos obscenos, usar el servicio para quedar con otros para tener encuentros sexuales y el acoso o calumnias hacia otros usuarios; asimismo, usar el Servicio con otros fines que no sean la verdadera intención del Servicio.
El resto de organizaciones siguen un sistema similar al establecido aquí, LinkedIn o WhatsApp prohíben las amenazas extorsiones y engaños, si bien es cierto que poco a poco esta conducta empieza a ser distinguida de aquellas que la conforman, y es probable que en el futuro existan procedimientos específicos para avisar sobre ella y prohibir su manifestación en internet.
3. Propuesta de soluciones
La propuesta de solución para abordar el problema del tráfico de personas pasa primordialmente por apoyar una acción conjunta de aquellos Estados implicados directamente con los problemas migratorios que ocurren en la actualidad.
Una iniciativa que aprobara, conjuntamente y con el consenso de todos los participantes, la creación de normas supranacionales que combatieran la trata sería el camino más apropiado para esta solución.
Siempre y cuando eso sí, la iniciativa tuviera por objeto tanto la imposición para los sujetos y organizaciones que cometieran trata de personas de penas de privación de libertad (prisión) como la imposición de ciberpenas de prohibición de navegación por internet (ciberprisión) basándose en ubicaciones concretas. Por ejemplo en las fronteras interestatales, donde se producen la mayor parte de casos de cibercaptación para el posterior tráfico.
Desde el punto de vista de las ciberorganizaciones y los individuos, la principal vía para combatir el tráfico de personas pasa por enseñar las vías por donde se delinque, sobre todo de cara a las personas más vulnerables (menores de edad). Es muy importante que se conozca la existencia de las redes de trata y los modus operandi a la hora de captar y seleccionar a sus víctimas.
Es decir, se debería formar a las personas para la correcta reacción frente a situaciones que puedan ser constitutivas de este tipo de delitos, tanto en el tratamiento directo con los posibles agresores, como en la denuncia a las ciberorganizaciones y autoridades.
II. TRÁFICO DE DROGAS Y DE MEDICAMENTOS
El tráfico de drogas se ha convertido en uno de los mayores focos de criminalidad. Actualmente se calcula que se ha confirmado como una conducta antisocial perseguible que mueve miles de millones de euros cada año, y con presencia tanto en el mundo físico como en el ciberespacio.
El tráfico de medicamentos por su parte, supone, junto al tráfico de drogas una de las conductas más extendidas en el ámbito de tráfico de productos o sustancias tanto en el mundo físico como a través de la web.
1. Supuesto
En el mundo físico, el tráfico ilegal de drogas consiste en el comercio ilegal y las actividades relacionadas con las sustancias prohibidas por ley, tanto dentro de las fronteras de un mismo Estado como fuera de ellas. Se conoce también como narcotráfico o tráfico de estupefacientes.
El conjunto de conductas que abarca esta definición engloba:
- * El cultivo, fabricación y elaboración.
- * La importación y exportación.
- * La distribución y el tráfico.
- * La venta o entrega.
- * La promoción, el favorecimiento y la facilitación.
El tráfico de medicamentos consiste en el comercio ilegal de productos y sustancias calificadas como medicamentos o fármacos, tanto dentro de las fronteras de un mismo Estado como fuera de ellas.
Abarca, tanto aquellos medicamentos que requieren receta médica y autorización para su expedición, como aquellos que se pueden adquirir sin necesidad de ningún trámite ni solicitud.
Se distingue del tráfico de drogas en función de la sustancia con la que se trafica. Mientras que los medicamentos son sustancias aprobadas, testadas, y controladas, las drogas son sustancias que carecen de esa aprobación, testeo y control.
Es posible, asimismo, que el tráfico de medicamentos abarque la distribución de éstos de manera adulterada, perdiendo sus propiedades y efectos beneficiosos para la salud, por ejemplo vitaminas, medicamentos contra la disfunción sexual (viagra), o antibióticos.
En internet, estas conductas se manifiestan a través de la distribución y venta de las sustancias ya manufacturadas, y la puesta a disposición de ellas a los compradores a través de las webs de compraventa disponibles en la red.
La web es el escaparate para los negocios de los narcotraficantes, y constituye un punto de unión entre ellos y los compradores. Al mundo ciber las sustancias llegan ya fabricadas y listas para las transacciones y el consumo directo. Además el cibertráfico se ha convertido en una de las actividades más importantes en la conocida como «Deep web» es decir, la parte de internet no indexada por los buscadores.
Al igual que las tiendas que legalmente venden otros productos en el mundo físico, en la Deep Web se encuentran verdaderos gigantes del comercio ilegal de estas sustancias como «Silk Road», que mueve millones de euros cada año gracias a las transacciones que se realizan en su web:
Entre estas actividades destacan:
- * La distribución y el tráfico a través de los foros y las webs.
- * La venta o entrega mediante transacciones online.
- * La promoción, el favorecimiento y la facilitación.
Este tráfico de sustancias abarca una tipología y variedad de sustancias con las que se trafica sin límites, solo con una sutil diferencia:
Cuando se hace referencia al tráfico de drogas, en realidad lo que se engloba son multitud de sustancias diferentes, como los estupefacientes, sustancias derivadas de las plantas como el cannabis, los hongos o la coca, las metanfetaminas, los esteroides, el crack, el popper, etc. Todo sustancias prohibidas o controladas por las autoridades de cada Estado.
Mientras que, por su parte, el tráfico de medicamentos abarca:
- * Tráfico de todo tipo de medicamentos en canales prohibidos (webs fraudulentas, webs con finalidades distintas de la compraventa, etc.)
- * Tráfico de medicamentos falsificados, prohibidos o caducados en todo tipo de canales (webs tanto legales como ilegales). En un supuesto muy similar al de la ciberpiratería.
Para hacerse una idea de la magnitud del problema, según el Informe Anual sobre Drogas, que elabora la UNODC [Oficina de Naciones Unidas contra la Droga y el Delito (2) ] junto con la OMS (Organización Mundial de la Salud) se estima que actualmente el número de personas que consume algún tipo de droga ilegal, se encuentra entre 8.9 millones y 22.4 millones de personas, con una incidencia especial en las regiones del Este y Sur de Europa.
Por su parte, se calcula que 1 de cada 4 medicamentos es falso, siendo este porcentaje mayor en los países en fase de desarrollo, pudiendo alcanzar cifras cercanas al 90%, según datos de la Organización Mundial de la Salud (OMS).
Por último cabe remarcar la figura del principal agente y protagonista en el ámbito internacional en relación con el tráfico de drogas y medicamentos, la UNODC (Oficina de Naciones Unidas contra la Droga y el Delito), cuyo papel es determinante para combatir estas actividades.
2. Análisis
La regulación de ambas conductas tiene un tratamiento diferente tanto en el mundo físico como en el mundo ciber, es decir, tanto en las diferentes regulaciones territoriales como en las cibernormas de las organizaciones.
Para la regulación territorial, en la totalidad de los Estados analizados, el tráfico de drogas y el de medicamentos constituyen un delito castigado con penas de multa y de prisión, en función de la gravedad de las circunstancias. La mayoría de Estados recogen en sus legislaciones códigos y leyes especiales que tratan esta conducta.
Por ejemplo en España, el Código Penal castiga con prisión de 3 a 6 años las acciones de promover, favorecer y facilitar el consumo ilegal de drogas tóxicas, estupefacientes o sustancias psicotrópicas.
En México, el Código Penal también establece en su art. 194 que se castigan las acciones de transporte o tráfico, comercio, suministro, prescripción o introducir o extraer del país este tipo de sustancias, con penas de prisión de 10 a 25 años, o prisión de 4 a 7 años si no se considerarse destinada a realizar alguna de las conductas a que se refiere el art. 194
Y por ejemplo también en el Estado de California, en EEUU, los arts. 11350 y 11377 del Código de Salud y Seguridad de California establecen que la mera posesión de estupefacientes o de sustancias ilícitas, es un delito grave, a menos de que se tenga una receta médica por escrito, y se llega a castigar con sentencias de hasta 3 años en la prisión estatal. En el caso del Tráfico y promoción, según los arts. 11352 o 11378 del Código de Salud y Seguridad se castiga hasta con 5 años en la prisión estatal.
En cuanto a la ordenación en el mundo ciber, la actividad del cibertráfico de medicamentos se produce mayoritariamente en la «Deep Web», al igual que el ciber tráfico de drogas, pero también se produce en grandes cantidades a través de las páginas web de compraventa de productos online, y por este motivo se ha de tomar como referencia directa las posiciones de las principales organizaciones de intercambio de bienes, pues es aquí donde se proporciona a los usuarios el mecanismo, el escaparate y la facilidad a la hora de traficar con drogas y sustancias en internet.
En este sentido, entidades como Amazon, Ebay, o Milanuncios, juegan un papel determinante en el control, prohibición y prevención de estos comportamientos.
Dada esta importancia, dedican una parte muy extensa de su ordenación en su web a regular y prohibir estos comportamientos, así por ejemplo de este modo, Ebay prohíbe desde las sustancias más comunes y conocidas como cocaína, marihuana, setas alucinógenas o narcóticos, hasta aquellos elementos que pueden utilizarse para la comisión de conductas que lleven o deriven del tráfico de drogas. Así, no está permitido comerciar con pipas para fumar, de todo tipo y clases, excepto alguna excepción residual, papel de hilo para fumar, o jeringuillas y agujas por ejemplo.
De manera similar, se encuentra en Milanuncios la prohibición de poner a disposición contenido que esté formado por estupefacientes, drogas, alucinógenos o cualquier sustancia no permitida por la ley vigente, utensilios que sirvan para producir, consumir o promover el consumo, y la distribución y producción de las sustancias, y también la prohibición de ejercer acciones de promoción directa del consumo de drogas.
Y por ejemplo también Aliexpress cuenta con una política de contenido que establece, en los Términos y Condiciones que no se podrá publicar, entre otros productos prohibidos como:
- * Anuncios de Medicamentos recetados, narcóticos, esteroides, estupefacientes, productos sanitarios, y adicionalmente anuncios que ofrecen servicios médicos o sanitarios, incluidos los servicios para el tratamiento médico, la rehabilitación, la vacunación, healthcheck, consejería psicológica, dietética, cirugía plástica, masajes, etc.
Las conductas de tráfico de medicamentos y tráfico de drogas a través de esta web se encuentran claramente prohibidas, abarcando las posibles opciones con una misma cláusula.
3. Propuesta de soluciones
El camino para erradicar las ciberconductas del tráfico de drogas y el tráfico de medicamentos han de estar centradas principalmente en analizar el internet profundo o «Deep Web», que utilizan los cibercriminales para no ser detectados, y que también es utilizada por los consumidores para adquirir por internet las sustancias.
Los Cuerpos y Fuerzas de Seguridad de los Estados, en colaboración con las organizaciones, deberían crear un cuerpo de investigación y seguimiento de la Deep Web, y de los cibermercados de tráfico de sustancias en el resto de internet, de forma que se pudiera rastrear los hilos que llevasen al mundo físico la mercancía con la que se traficase.
De forma encubierta, o bien a través de un agente enmascarado como comprador, a modo de señuelo, el objetivo es lograr contactar con las redes de cibertráfico de drogas y poder actuar físicamente contra ellas, ya que la operatividad en la Deep Web de este tipo de redes es difícilmente atacable desde la propia red.
Por parte de las empresas titulares de los medicamentos, las conocidas como farmacéuticas, es preceptivo realizar servicios de cibervigilancia virtual para monitorizar y detectar la venta incontrolada de sus productos.
Bien por que escapen al control en la distribución que realizan en los diferentes territorios, una vez llega al distribuidor minoritario, o bien por que por vía interna, se permite la comercialización de productos que escapan al control de la cadena de producción.
III. CIBERBLANQUEO DE CAPITALES
En lo referente a los delitos e incidencias relacionadas con los activos, bienes y dinero, el blanqueo de capitales es una de las conductas más extendidas dentro del mundo criminal, y su existencia provoca graves perjuicios a las economías que lo padecen.
A lo largo de 2014 y 2015 en España se destapó un escándalo en las entidades bancarias Banca Privada de Andorra (BPA) y su filial Banco Madrid, por su supuesta colaboración con el blanqueo de dinero del crimen organizado, lo que obligó a las autoridades del Principado y españolas a imponer un corralito temporal en el grupo ante la fuga de ahorros que venía sufriendo su entidad.
El descubrimiento de estas actividades llevó a los administradores a solicitar el concurso de acreedores y suspender la operativa de la entidad hasta que la justicia decidiera sobre el futuro del banco, dejando bloqueados los depósitos, fondos de inversión y sicavs gestionados por estas entidades bancarias y a fecha de hoy aún no se ha podido resolver este asunto.
Ejemplos como éste se pueden vivir a diario en muchos otros Estados del mundo, por lo que no se trata de un fenómeno aislado de escasa importancia.
1. Supuesto
El blanqueo de capitales o lavado de dinero es el conjunto de operaciones destinadas a transformar bienes, dinero o activos de origen ilegítimo o ilegal, en productos de carácter lícito y transparente. Si bien otro de los objetivos es que si no se logra ese objetivo, conseguir que al menos los bienes aparenten tener esas características.
El elemento más importante del lavado de dinero consiste en el trabajo con fondos, bienes y activos procedentes de actividades ilegales o delictivas, con conocimiento de ello. De tratarse de dinero legalmente registrado o que no procediera de actividades como el terrorismo o el tráfico de drogas, no se podría hacer referencia a la actividad de blanqueo.
Estos bienes suelen recibir también el término de «dinero negro», y serán los destinados a ser «lavados» o «blanqueados» por los delincuentes.
A pesar de la diversidad de métodos, se pueden identificar varias fases o pasos en una operación de blanqueo, entre ellos:
- 1. Comisión de un acto delictivo, y obtención de activos, bienes o dinero.
- 2. Introducción del producto en el sistema financiero.
- 3. Realización de operaciones de cara a ocultar el origen, y dificultar el seguimiento del rastro.
- 4. Integración final del dinero en el sistema bancario; culminación de la apariencia de legalidad.
En internet, el ciberblanqueo se produce mediante el ofrecimiento a las víctimas y colaboradores por terceras personas, de negocios, operaciones, ofertas, engaños y estafas, para que operen con diferentes activos, y conseguir introducirlos en el sistema financiero. El ciberblanqueo se produce tanto con el abuso hacia las víctimas como con la colaboración de terceros, y el papel que juega la web es el de soporte y base tanto para unas actividades como para otras.
El ciberblanqueo de capitales a través de internet, se puede realizar en ciertos casos, desde el primer momento en el que se cometa el acto delictivo (a través del robo, fraude, o estafa, por ejemplo) hasta la integración del dinero en el sistema bancario del Estado donde se produzca. Bajo otras circunstancias, la web no se utiliza hasta un momento posterior en donde ya se han producido ciertas acciones o transacciones, como en el caso del blanqueo de bienes de naturaleza no monetaria. (Por ejemplo al traficar con productos robados, se comete primero el hurto o robo, para posteriormente realizar operaciones de compraventa de esos productos, a día de hoy mayoritariamente online).
Las formas más comunes de blanqueo de capitales, compartidas tanto por el mundo físico como por el mundo ciber son:
- * Pitufeo o smurfing: Consiste en la división en cantidades más pequeñas de sumas de dinero de origen ilegal, de manera que las transacciones sean más difíciles de controlar, registrar, o simplemente no resulten sospechosas.
- * Empresas fantasma/tapadera: Creación o utilización de organizaciones empresariales en apariencia legales, de manera que aparenten llevar a cabo su actividad de forma normal, pero que en realidad lo que realicen sea el lavado de dinero de origen ilegal o fraudulento, y no posean actividad alguna.
- * Transferencias bancarias o electrónicas: Realización de transferencias por internet, para mover el dinero de unas cuentas a otras, entre diferentes países, de cara a dificultar el rastreo del dinero, y ocultar el origen de los fondos.
2. Análisis
Para el mundo territorial, el blanqueo se trata en la mayor parte de casos, en leyes especiales dedicadas a tratar este tipo de delitos, junto a la financiación del terrorismo, y otros delitos relacionados. Así, se puede encontrar en países tan diferentes ordenamientos similares como en Argentina la Ley n.o 25.246 de encubrimiento y lavado de activos de origen delictivo, que modifica el Código Penal; frente al conjunto de leyes que se pueden encontrar en Suiza, Estado tradicionalmente relacionado con el blanqueo de Capitales, con la Ley Federal de Lucha contra el Lavado de Dinero en el sector financiero (Anti-Lavado de Dinero Ley, AMLA) o las disposiciones del Código Penal.
La tipificación para la mayor parte de casos se basa en una misma conducta prohibida, que suele tratarse de la transformación de dinero o bienes procedentes de delito; ocultar, alterar o hacer desaparecer los rastros y pruebas u objetos de éste, así como las prohibiciones de ayudar a un tercero a evadir las investigaciones de las autoridades competentes, o el encubrimiento y la falta de denuncia si se ha sido testigo de una acción de esta clase.
El castigo o pena es el elemento diferenciador entre todos los territorios, así, siguiendo los ejemplos anteriores, encontramos penas de prisión de 6 meses a 3 años para estos delitos en Argentina, mientras que en Suiza se castiga más duramente con penas que oscilan entre los 3 hasta los 5 años (art. 260 Quínquies y 305 del Código Penal Suizo).
En el mundo ciber, la lucha contra el ciberblanqueo cuenta con una ventaja, que consiste en una incidencia limitada a ciertas organizaciones, debido a que las transacciones de activos y dinero no son fácilmente realizables en todas las páginas web.
Así, el foco de vigilancia y control ha de limitarse a organizaciones que ofrezcan servicios de compraventa de bienes, como Ebay o Mercadolibre, de contacto profesional y portales de empleo como LinkedIn, y por supuesto organizaciones bancarias y entidades financieras o de dinero electrónico.
En Mercado Libre se prohíben las publicaciones de productos o servicios como:
- * Productos robados.
- * Objetos catalogados como patrimonio histórico.
- * Préstamos o créditos financieros.
- * Dinero de curso legal, cuentas bancarias y servicios de depósitos bancarios.
- * Acciones, bonos, títulos o cualquier otro papel que cotice en bolsa.
- * Tarjetas de crédito o débito estén o no en vigencia y servicios de obtención de las mismas.
- * Terminales para pagos con tarjeta, lectoras y duplicadoras de códigos de tarjetas.
- * Monedas y billetes que repliquen a los que se encuentran en circulación.
En LinkedIn, directamente se prohíbe todo tipo de transacciones para las cuales la plataforma no está diseñada:
- * Alquilar, arrendar, hacer negocios, vender o revender el acceso a los Servicios o cualquier otra información o datos relacionados.
- * Vender, patrocinar u obtener un beneficio económico de un grupo de LinkedIn o de cualquier otra función de los Servicios sin el consentimiento de LinkedIn.
- * Actuar de manera ilegal, injuriosa, abusiva, obscena, discriminatoria o de otro modo reprochable.
- * Crear u operar un esquema piramidal, fraude u otra práctica similar.
Para culminar con el análisis, es necesario mencionar en este sentido que, al igual que en el caso de la trata de personas, es relevante la Convención contra la Delincuencia Organizada Transnacional, conocida como Convenio de Palermo, promovida por Naciones Unidas en el año 2000, y celebrada en Palermo, Italia. Desde la firma de los protocolos surgidos a raíz de estas reuniones, se exige a los diferentes países firmantes el establecimiento de regímenes internos de reglamentación y supervisión de los bancos y las instituciones financieras y de los órganos susceptibles de utilizarse para el blanqueo de dinero, el mantenimiento de garantías de transparencia e información, y la vigilancia y cooperación internacional.
3. Propuesta de soluciones
Para evitar la propagación del ciberblanqueo de capitales como forma de delincuencia en internet, se han de abordar una serie de medidas que pasan primordialmente por establecer un control de las actividades y operaciones en la red.
Este papel debe ser asignado casi de manera exclusiva a las entidades bancarias y cajas de ahorro, respaldadas por los diferentes organismos estatales y los Bancos Centrales de los diferentes Estados.
La labor que deberán desempeñar deberá ir encaminada a promover y realizar:
- * Labores de vigilancia y control de sus actividades, pues han de tener un papel de garante de legalidad de toda transacción en sus servicios, y vigilar y reportar todo comportamiento sospechoso, para ello sería muy apropiado la creación de comités interempresariales de vigilancia y control en aquellas empresas o sectores cuya actividad sea susceptible de sufrir estas conductas.
- * Creación de diferentes organismos exclusivamente dedicados al control de las operaciones financieras, como las oficinas de información Financiera que ya se encuentran en muchos Estados, y son un buen ejemplo de este tipo de organizaciones.
- * Creación de ciberoficinas de vigilancia y control de las diferentes organizaciones que exclusivamente operasen a través de internet.
- * Asimismo, deben ser los principales actores en el marco de la creación de acuerdos internacionales para la persecución de esta ciberconducta.
IV. HACKING
El término hacking es socialmente controvertido. Se podría definir como el conjunto de técnicas a través de las cuales se accede a un sistema informático —entendido éste en un sentido amplio— vulnerando las medidas de seguridad establecidas originariamente.
Se denomina hacker al sujeto que tiene altos conocimientos en seguridad informática capaz de realizar las técnicas anteriormente descritas. Según su ética, pueden calificarse como WhiteHats Hackers, que son aquellos que utilizan sus conocimientos para mejorar los sistemas de seguridad y corregir vulnerabilidades; o como BlackHats Hackers, que son los que demuestran sus conocimientos mostrando las deficiencias en los sistemas ajenos y suponen una grave amenaza para las ciberoganizaciones e internautas.
Aunque por lo general, cuando se habla de hacking se suele hacer alusión a un acceso ilícito; no puede obviarse que el hacking, como tal, no es más que un conjunto de técnicas utilizadas para introducirse en un sistema informático vulnerando las medidas de seguridad, con independencia de la finalidad con la cual se realice.
Por lo tanto, a priori, dicho acceso no tiene porqué calificarse necesariamente como ilícito e ilegal, pues pudiera ser que la penetración en el sistema formara parte de una relación contractual cuya finalidad fuera comprobar la robustez de las medidas de seguridad del sistema informático de una empresa o encontrar sus vulnerabilidades (como ya ocurre con los profesionales de la seguridad informática o las técnicas de hacking ético).
Esta figura es una de las ciberconductas más antiguas, ya que surgió casi a la par que la ciencia informática debido a la curiosidad del hacker en conocer en profundidad el funcionamiento de los sistemas informáticos.
1. Supuesto
Según recoge el periódico de tirada nacional El País «2015 ya es el año del cibercrimen». Además, durante el primer trimestre de 2015 tanto Kaspersky Lab como PandaLab —dos de los laboratorios pertenecientes a compañías de software antivirus de éxito— ponían de relieve que la ciberdelincuencia estaba aumentando de forma espectacular.
Se ha de destacar que a partir de las técnicas de hacking han ido surgiendo otro tipo de ciberconductas reprochables —por su finalidad— como son el cracking, la utilización de malware o spyware, el acceso a contenidos sin consentimiento, etc., y que se analizará más adelante.
El hacking es una conducta que pertenece únicamente al mundo ciber y a internet, que no se produce en el mundo físico por la necesaria relación con los dispositivos electrónicos (ordenadores, tabletas, smartphones, wereables) y el acceso a internet que se requiere. Sin embargo, no es motivo para que la regulación por parte de los territorios no intervenga.
Se trata de una de las conductas que más incidencia tienen en el ciberespacio entre todas las que se cometen, de hecho, el término «hackeo» empieza a ser ya habitual en medios de comunicación —como ocurrió con el caso de Ashley Madison— y con mayor motivo al tratarse de una precursora de otras.
En cualquier momento, y en cualquier contexto se pueden encontrar ejemplos de noticias que ilustran lo que aquí se establece: Por ejemplo, en febrero de 2015 el portal chileno 24 horas recogía la siguiente noticia: «Usuarios de redes sociales reportaron que durante esta noche fue atacado el portal del Ministerio de Defensa de Chile con mensajes alusivos a Estado Islámico y el conflicto que se vive actualmente en Medio Oriente. Además, en la intervención se podían leer mensajes como «Sadam Husein», «We are ISIS» y «Alá es el único Dios»; y más recientemente, el 8 de octubre de 2015, el portal de la BBC Mundo abría un artículo con el siguiente titular «La preocupante vulnerabilidad de las centrales nucleares a los ataques informáticos», lo cual pone de manifiesto que es estos ataques son una realidad con la que convivimos.
2. Análisis
Desde el punto de vista territorial, debido a la longevidad que se comentaba en la introducción, muchas legislaciones castigan ya esta conducta cuando se realiza con una finalidad maliciosa, como por ejemplo cuando la penetración no consentida en un sistema informático o en alguna de sus partes.
Por ejemplo, en España, el Código Penal castiga en su art. 197 bis, (LA LEY 3996/1995) al que por cualquier medio y vulnerando las medidas de seguridad establecidas para impedirlo, acceda o facilite a otro el acceso a un sistema de información. Se castiga con pena de prisión de seis meses a dos años. Asimismo, también se castiga la conducta de crear o poner a disposición de terceros, programas que faciliten o permitan este acceso ilícito a un sistema de información.
En Estados Unidos, y más concretamente, el Estado de California, en el art. 502 de su código federal penal, prohíbe los accesos no autorizados en sistemas informáticos, haciendo alusión en el mismo a diversa casuística, y estableciendo para cada uno de los casos penas de multa, e incluso, de prisión.
A nivel legislación europea, y a título de ejemplo, señalaremos la legislación francesa, y en concreto, la Ley 88/19 del 5 de enero de 1988 que versa sobre el fraude informático, sanciona tanto el acceso al sistema informático, como la permanencia en el mismo; y aumenta la sanción en el caso de que se produzca una modificación o supresión de información en el sistema, o bien, se produzca una alteración del mismo.
Por su parte, la legislación sudamericana también contempla esta conducta como delictiva. Así, en Perú la ley 30.096 del año 2013, castiga a quien acceda sin autorización, o sin autorización suficiente, a un sistema informático protegido con medidas de seguridad cuando éstas resulten vulneradas, con pena privativa de libertad de 1 a 4 años.
De un análisis exhaustivo de las distintas legislaciones territoriales, se desprende que la diferencia en cuanto a las penas proviene de que en determinadas legislaciones se regula de forma autónoma el acceso ilícito, mientras que otras lo recogen junto a otras conductas más nocivas.
Desde la perspectiva del mundo cibernético suele prohibirse el hacking —entendido éste en su vertiente dañina— tanto en las condiciones generales, como en los términos de uso que las ciberorganizaciones ponen a disposición de sus usuarios.
Así, por ejemplo, el portal Vibbo (anteriormente Segundamano) que se dedica a la compra y venta de artículos de segunda mano, prohíbe la comercialización de dispositivos o programas que permitan guardar lo que se escribe en el teclado como: keyloggers, keyghosts o keysharks; sí como, servicios de recuperación de contraseñas o de «hackeo» de correos electrónicos.
En el portal de acceso a Internet de Terra, se señala que todo usuario evitará utilizar los servicios con fines ilícitos, prohibidos o que pudieran dañar, sobrecargar, o impedir su normal utilización sobre los equipos informáticos o los documentos, archivos y toda clase de contenidos almacenados en cualquier equipo informático de Terra o de otros usuarios de Internet.
Ahora bien, en el caso de que el hacking se realice con buenas intenciones, hay sitios en los que la intromisión en los sistemas se encuentra prevista.
Así ocurre en sitios como LinkedIn y otras plataformas, como Netflix, en donde se establece que si un profesional de la seguridad informática desea informar de una vulnerabilidad detectada debe saber que existe una política sobre revelación responsable y que la plataforma no tomará medidas en su contra por comunicárselas.
De hecho, hasta se podría aspirar a figurar en un cuadro de honor como es el caso del hall of fame del Portal Alibaba.
V. CRACKING
El término crack, proveniente del inglés, hace referencia a «romper», en este caso, las medidas de seguridad de un sistema y la finalidad de quien lo realiza es obtener un beneficio o procurar, sin más, un daño.
El cracking compartiría con el hacking la metodología, ya que también consiste en un acceso vulnerando las medidas de seguridad establecidas. Sin embargo, la intención y finalidad con la que se realiza este acceso cambia, pues, en esta ocasión, el acceso se califica de ilegítimo, ilícito e ilegal. Por este motivo y porque las consecuencias cambian, es por lo que se requiere un estudio individual de esta figura.
1. Supuesto
El cracking es una ciberconducta antisocial consistente en un acceso en un sistema careciendo de autorización para ello, y que tiene como consecuencia la producción de un daño o, la alteración de dicho sistema. También se utiliza este término cuando se habla de la vulneración de las medidas de protección anticopia de un software informático mediante técnicas de ingeniería inversa (también denominado reversing).
Es habitual que la utilización de técnicas de cracking conlleven aparejadas otro tipo de conductas antisociales y delictivas.
Los daños que pueden llevar aparejados este tipo de ciberataques pueden ser de importancia: desde la inutilización de ciertos sistemas o el conjunto de una red de telecomunicaciones, al robo de datos, la manipulación de información, o la infección de otros ordenadores.
2. Análisis
Desde la perspectiva de la regulación en el mundo físico, las legislaciones territoriales suelen sancionar la ciberconducta de cracking como delito, como ya analizamos en el supuesto del hacking.
Las penas que se imponen usualmente implican una pena de privación de libertad a la que se puede unir una multa. Sin embargo, es común que penalización del cracking no se identifique singularmente, sino que se suele penar a la par que se prevé la vulneración de medidas de seguridad de un sistema de información, o bien se trata conjuntamente con otra serie de ciberconductas que pueden alcanzar diversos grados de gravedad; de ahí que las penas cambien según las previsiones contenidas en cada legislación.
Por ejemplo, en España, el Código Penal contempla en su art. 270.5 (LA LEY 3996/1995) que se castigará a quienes eliminen o modifiquen, sin autorización, las medidas tecnológicas de protección de los contenidos. La finalidad de esta medida es proteger a quienes ostentan un derecho de propiedad intelectual de los llamados «crackers», es decir, de aquellos que vulneran las medidas anticopia establecidas en un determinado software.
El Estado de Connecticut, en Estados Unidos, contempla en su código penal federal un apartado —la Sec. 53.ª 251 y siguientes— dedicado exclusivamente a los delitos perpetrados con un ordenador que son los denominados «computer crime». Así, se consideran delictivos entre otros: el acceso no autorizado en un sistema informático, la producción de una interrupción no autorizada de los servicios informáticos o, la utilización malintencionada de la información contenida en un sistema informático.
Por su parte, en Chile, la ley n.o 19.223 sanciona a quien intercepte, interfiera o acceda a un sistema de tratamiento de la información siempre que concurra un determinado ánimo consistente en apoderarse, usar, o conocer indebidamente la información contenida en el sistema. La pena a imponer será la de presidio menor.
Desde la perspectiva ciberespacial, el problema con el cracking y con ello, el interés en su regulación se manifiesta con mayor fuerza en aquellas ciberorganizaciones que disponen de un software o producto que proteger frente a los intentos de ruptura y franqueo de los ciberdelincuentes.
Por ejemplo el contrato genérico de Microsoft prohíbe expresamente utilizar técnicas de ingeniería inversa, descompilación o desensamblaje del software. Asimismo, en su contrato marco, manifiesta que el usuario, respecto del software o los servicios, no podrá ludir las medidas técnicas de protección que el software o los Servicios contengan, o publicar o copiar el software.
Del mismo modo la plataforma de juego online Pokestars.com, o la de economy sharing (economía colaborativa) como Blablacar.com prohíben en sus términos de uso la descompilación o recurrir a ingeniería inversa respecto del software. Algo similar ocurre con Playstation quien no permite las técnicas de descompilación o ingeniería inversa o manipulación del código fuente; y en la plataforma de YouTube en donde se prohíbe eludir, desactivar o manipular de cualquier otra forma (o tratar de eludir, desactivar o manipular) las funciones de seguridad de los Servicios u otras funciones que impidan o restrinjan la utilización o copia de los Contenidos, o que aplican las limitaciones a la utilización de los Servicios o de los contenidos que se ofrecen a través de los Servicios.
Desde este punto de vista, prácticamente todas las ciberorganizaciones contemplan medidas para paliar este tipo de conductas antisociales, poniendo a disposición de los usuarios medios de denuncia para actuar contra las mismas lo antes posible.
VI. MALWARE
El Malware supone la vía más frecuente de entrada ilícita a un sistema informático ajeno, y sus variaciones en forma de virus y gusanos informáticos forman parte del ecosistema frente al cual, a diario, se tienen que enfrentar los usuarios de internet.
1. Supuesto
Malware, abreviatura de «Malicious software», es la palabra con la que se denomina a todo tipo de programa o código malicioso diseñado para introducirse en un sistema informático, sin consentimiento de su propietario, y provocar daños, causar un mal funcionamiento o robar información.
Engloba multitud de subtipos diferentes, como virus o troyanos cada uno con sus particularidades, sus métodos de actuación o configuraciones y sus efectos, pero la palabra genérica para denominarlos es malware.
La ciberconducta consiste en tratar que un programa informático (malware) se ejecute en el sistema de un tercero sin su conocimiento y con el propósito de causarle un perjuicio directo o indirecto, u obtener un beneficio propio; por lo tanto, es una conducta perteneciente en exclusiva al mundo ciber. Al igual que el cracking, la utilización de malware suele ser el paso previo para cometer otros ciberdelitos.
Su ámbito de actuación no se reduce a ordenadores; sino que puede estar diseñado para introducirse en tablets, smartphones, dispositivos de almacenamiento, data centers, etc. (3) .
Las variantes más conocidas del malware son:
- * Virus: Malware diseñado para alterar el normal funcionamiento de un ordenador sin conocimiento del propietario del mismo. Su funcionamiento es sencillo: se introducen en otros sistemas a partir de programas infectados y tratan de inyectar su código en otros programas ejecutables del ordenador, con la finalidad de permanecer en el sistema informático el mayor tiempo posible. Para que puedan infectar otros sistemas, será necesario que el archivo infectado se ejecute en el sistema ajeno.
- * Gusanos de Internet (worms): Un gusano es un tipo de malware que a diferencia de los virus, no necesita alterar los archivos de programas para replicarse, sino que se duplica a sí mismo. Los gusanos casi siempre causan problemas en la red ya que están programados para expandirse, mientras que los virus siempre infectan o corrompen los archivos del dispositivo atacado.
- * Troyanos: Es un tipo de programa malicioso con apariencia legítima e inofensiva, pero que, al ser ejecutado, permite al atacante tener acceso remoto al equipo infectado, y por ende, a toda la información contenida en el mismo.
- * Keyloggers: malware cuya finalidad es registrar y remitir al atacante la información que se teclea en el ordenador. Aunque por sí mismos no producen daños, sí pueden suponer un peligro para la privacidad del usuario y pueden capturar información sensible del usuario como cuentas bancaras, contraseñas, etc.
- * Botnets: software malintencionado que convierte el dispositivo u ordenador en un bot o «robot» que pasa a realizar tareas automatizadas a través de internet sin conocimiento de su propietario. Cuando hay una red amplia de equipos «robot» o «zombies», se crea una red que es lo conocido como botnet. Estas redes suelen ser utilizadas por ciberdelincuentes para enviar spam, propagar virus, atacar equipos y servidores, etc.
- * Spyware: Programa que se instala en un dispositivo sin el consentimiento ni autorización de su propietario con el propósito de recopilar información y luego remitírsela al atacante.
- * Adware: El término «ad» en «adware» hace alusión a la palabra inglesa «advertisement» o anuncio. Por lo tanto, este malware hace referencia a programas que muestran publicidad de forma intrusiva e inesperada, usualmente en forma de ventanas emergentes (pop-up).
- * Ransomware: Muy relacionado con la ciberextorsión, son programas que cifran archivos importantes para el usuario, haciéndolos inaccesibles y así extorsionar al usuario para poder recibir la contraseña que le permita recuperar sus archivos. Un ejemplo de ello es CryptoLocker.
No obstante, el malware suele combinar diversas variantes de las que acabamos de citar.
2. Análisis
En el ámbito del análisis de la normativa territorial respecto al malware, se encuentran en estos momentos dos situaciones diferentes. La de los países cuyo cuerpo normativo recogen leyes especiales para los delitos informáticos, y la de los países en donde únicamente el Código Penal recoge las conductas prohibidas.
Un ejemplo de país con leyes específicas lo encontramos en Estados Unidos. Algo más de 20 Estados, entre los que se encuentran Nueva York, California y Nevada, tienen una legislación cuyo objetivo es perseguir directamente el spyware. Además, la mayoría de los Estados regulan una sección dentro de su legislación penal dedicada a la ciberdelincuencia, y entre sus definiciones, se hace mención al malware:
«Computer contaminant» means any set of computer instructions that are designed to modify, damage, destroy, record, or transmit information within a computer, computer system, or computer network without the intent or permission of the owner of the information.
They include, but are not limited to, a group of computer instructions commonly called viruses or worms, that are self-replicating or self-propagating and are designed to contaminate other computer programs or computer data, consume computer resources, modify, destroy, record, or transmit data, or in some other fashion usurp the normal operation of the computer, computer system, or computer network (4) .
En España, el Código Penal contempla en los arts. 264 (LA LEY 3996/1995)y siguientes, que será castigado con pena de prisión aquel que produzca, adquiera, importe o facilite a terceros un programa informático, cuya finalidad sea borrar, dañar, deteriorar, alterar datos informáticos, programas, o documentos electrónicos.
En China, el art. 286 de la Criminal Law de 1997, contempla como hecho delictivo el crear y propagar virus deliberadamente y otros programas que saboteen el normal funcionamiento de un sistema informático, y podrá ser penado con hasta 5 años de prisión cuando las consecuencias sean graves.
En la República Dominicana, la ley número 53-07 sobre crímenes y delitos de alta tecnología en el art. 8 penaliza la producción, uso, y distribución, entre otros de programas informáticos, equipos, materiales o dispositivos cuyo único uso o uso fundamental sea el de emplearse como herramienta para cometer crímenes y delitos de alta tecnología. Castigándolos con penas de 1 a 3 años de prisión y multa de 20 a 100 veces el salario mínimo.
En lo relativo a la regulación en el ciberespacio, se puede encontrar con facilidad en toda ciberorganización, una previsión de comportamientos prohibidos en relación con la utilización de malware para dañar los sistemas informáticos, ya sea de la propia organización o de los usuarios que utilizan sus servicios.
Por ejemplo Blogspot en sus Condiciones Generales de uso establece la regla general de que todo usuario se comprometerá a utilizar los servicios y contenidos del portal conforme a lo establecido en la ley, la moral y el orden público. Expresamente establece una enumeración que supone una prevención contra el malware ya que el usuario se comprometa a:
- * No introducir o difundir en la red programas de datos, virus y software nocivo, susceptibles de provocar daños en los sistemas informáticos del proveedor de acceso, sus proveedores o terceros usuarios de la red Internet.
Otro ejemplo se puede encontrar en los Términos y Condiciones de uso de Netflix, en donde se recoge que no está permitido en la red introducir ni difundir programas de datos, virus y software nocivo susceptibles de provocar daños en los sistemas informáticos del proveedor de acceso, sus proveedores o terceros usuarios de la red Internet.
Por su parte, Facebook, contempla en sus TOS (Terms Of Service o Términos del Servicio), que el usuario acepta, entre otros, los siguientes compromisos al entrar en la red social:
- * No publicar comunicaciones comerciales no autorizadas (como spam) en Facebook.
- * No recopilar información o contenido de otros usuarios ni acceder a Facebook utilizando medios automáticos (como bots de recolección, robots, spiders o scrapers) sin permiso previo.
- * No subir virus ni código malicioso de ningún tipo.