miércoles, 30 de noviembre de 2016

Perú: Criminalidad informática, secuestro de datos ante la ley penal

Tomado de la Revista Jurídica del Diario Oficial El Peruano
Por Luis Miguel Reyna Alfaro[1]
Lamentablemente este tipo de practicas empresariales se ve favorecida por la excesiva benignidad con que la Ley N° 30096 [Ley de Delito Informáticos] sanciona conductas de
intrusismo, sabotaje, fraude informáticos y que llevan a que la victima tenga pocos incentivos para comunicar a la autoridad del delito sufrido.

El ransomware o secuestro de datos es uno de los “computer crimes” que genera actualmente mayor impacto en las empresas. Esta circunstancia es bien aprovechada por quienes [generalmente bajo la cubierta de organizaciones criminales], tras ingresar furtivamente en los sistemas informáticos de las empresas, implantan en aquel, un malware destinado a encriptar la información, y luego “venden” al mismo dueño de la información la clave para descifrarla.
La proliferación del secuestro de datos es indirectamente promovida por la conducta de la propia empresa víctima que, en la creencia de que el impasse en su seguridad informática será superado a través del pago exigido por estas organizaciones criminales y pensando que la justicia penal no tendrá capacidad de respuesta efectiva ante estos casos, no solo aceptan los requerimientos de los criminales informáticos sino que mantienen el hecho fuera del conocimiento de las autoridades policiales y del Ministerio Público. Las propias empresas afectadas prefieren asumir los costos del crimen como un costo de la operación, que arriesgarse a provocar un daño a su reputación que pudiera ser devastador para la empresa. La falta de seguridad de su sistema informático no es un mensaje que las empresas quieran, hoy en día, transmitir.
Pero la realidad forense demuestra que esta práctica empresarial es poco eficaz. Como ha señalado James Trainor, director asistente de la Cyber Division del FBI: “Pagar el rescate no asegura a una organización que vaya a recuperar su información… El pago de un rescate no solo envalentona a los ciberdelincuentes a que ataquen a otras empresas, sino que sirve de incentivo para que otros delincuentes se involucren en estas actividades. Y, por último, mediante el pago de un rescate una empresa podría inadvertidamente estar financiando las actividades de una asociación criminal”[2] .
Lamentablemente, este tipo de prácticas empresariales se ve favorecida por la excesiva benignidad con que la Ley N° 30096 [Ley de Delitos Informáticos] sanciona las conductas de intrusismo, sabotaje y fraude informáticos, y que llevan a que la víctima tenga pocos incentivos para comunicar a la autoridad el delito sufrido. Con penas que no superan, en la mayoría de casos, los ocho años de prisión, la ley penal termina transmitiendo una imagen desenfocada de la realidad criminógena oculta detrás del crimen informático que llevará a la empresa a enfocarse más en la mejora de su seguridad informática que en contribuir a la persecución del delito cometido en su agravio. Los efectos económicos causados por los ciberdelitos, el anonimato propio del ambiente informático y los problemas de persecución penal en estos delitos parecen ser elementos no tomados en cuenta por el legislador al momento de determinar las sanciones penales para esta clase de delitos.

Agenda global
La criminalidad informática es una de las expresiones de la delincuencia que se encuentra en las actuales agendas de la justicia penal. No es de extrañar que el presidente norteamericano Barack Obama, en su discurso sobre el Estado de la Unión del 201, haya sostenido: “Ningún país extranjero, ningún hacker, debería ser capaz de bloquear nuestras redes, robar nuestros secretos comerciales o invadir la privacidad de las familias estadounidenses, especialmente a nuestros hijos. Urjo a este Congreso a aprobar la legislación que necesitamos para enfrentar con mayores garantías el cambiante reto de los ciberataques, combatir el robo de identidad y proteger la información de nuestros hijos”. Con estas expresiones, Obama evoca una expresión comúnmente utilizada en los análisis sobre la eficacia de la ley penal para prevenir el delito: El crimen siempre está un paso por delante de la ley. En el caso del crimen informático ese paso es gigantesco.


[1] Abogado penalista, director de Caro & Asociados.

No hay comentarios:

Publicar un comentario