Cargando...

21
12/2017
Una crítica técnico-jurídica frente a la persecución del Cibercrimen
Por: Emanuel Ortiz
*Los contenidos que aparecen en esta sección en la página web de Huella Forense, son de exclusiva responsabilidad de los autores, por lo que estos no representan la opinión ni posición de este medio

 

El software malicioso es en la actualidad una de las herramientas que el delincuente cibernético utiliza para realizar actividades criminales.  Por tanto, esta temática ha sido de gran interés de estudio y desarrollo a partir de los escenarios jurídico–legales, desde los cuales se puede individualizar una posible acción delictiva. Lo anterior está enmarcado en el artículo 269E ‘Uso de software malicioso’, en donde se evalúa la pertinencia de su uso y adecuación típica por parte de la Fiscalía General de la Nación, de acuerdo a las principales características y modalidades delictivas en las que se presenta.

En la actualidad las amenazas informáticas crecen según los parámetros en los que se evalúen las nuevas tecnologías en el mercado. Para Gartner (2015), hacia el año 2020 las tecnologías emergentes crearán una relación muy familiar entre el ser humano y las máquinas y cerca del 20 por ciento de los negocios estarán dominados en este escenario por diferentes avances en materia tecnológica.

El uso del [1] BYOD y los recientes avances en inteligencia artificial nos p­one a los usuarios frente a un escenario en el que nos convertimos en posibles víctimas ante ataques o infecciones frente al [2] malware a nivel mundial.

En ese sentido, mediante este texto se pretende explicar los aspectos fundamentales para abordar el contexto criminal en donde se presenta el fenómeno delictivo y las principales tendencias en materia cibercriminal de la comisión de las conductas que se encuadren dentro del tipo penal de ‘Uso de software malicioso’. Dando observancia a las principales modalidades y tipologías en las que se cometen atentados contra los principios de seguridad en la información: Integridad, Disponibilidad y Confidencialidad.

Las circunstancias del cibercrimen ameritan que muchas de estas conductas cibercriminales se puedan analizar y encuadrar dentro de los aspectos principales del hecho, sin embargo, todavía estos puntos no son importantes para jueces y fiscales, por tanto, es necesario analizar en qué situación especial se presenta la comisión de la conducta.

Para este escenario siempre se debe hacer un análisis prospectivo en el cual se documenten las principales modalidades delictivas y se traslade la conducta del uso del software malicioso para ciertas incidencias, entre ellas la tipicidad dentro del código penal colombiano. Lo anterior con el fin de delimitar las acciones en las que realmente se refleja el actuar del sujeto frente a la labor cibercriminal.

Algunos cambios positivos podrían generarse en la construcción de un mecanismo que nazca de la necesidad de interiorizar la utilización y adecuación de conductas, en donde se valore el contexto de las modificaciones hechas por el código malicioso en el sistema que han sido no exploradas o son nuevas para adecuar esta conducta criminal.

El tema en cuestión se ha ido evidenciado a raíz de la mala práctica en la adecuación de ‘buenas prácticas’, en materia de análisis jurídico y forense digital, por parte de examinadores, auditores forenses, directores de la investigación y/o Fiscales para llegar a dilucidar, de manera efectiva, las razones por las cuales se instaló un objeto malicioso en el sistema.

Por otro lado, la no aplicación, de manera correcta, de algunos apartes de la Ley 1273 del 5 de enero de 2009, evidencia la inoperancia y la falta de nuevas técnicas para demostrar que un ciberdelincuente (Editor y Centro Criptológico Nacional, 2014), puede llegar a ejecutar de manera eficaz una actividad criminal dentro del sistema afectado o en contra de una infraestructura digital vulnerable.

En amplio sentido, este esquema normativo e instrumental actualmente no tiene un alcance técnico, jurídico y sancionatorio ideal; y esto se puede demostrar en la forma en la que se aborda el problema por parte del director, auditor y rector de la investigación.

Otros factores de desconocimiento radican en los tipos penales que acompaña la Ley 1273, porque no reúnen los insumos correctos o adecuados para que se manifieste la conducta punible del uso de software malicioso. Lo anterior se debe a la no aplicación de métodos eficaces para hacer fiable el alcance y la debida recaudación de la evidencia dentro de un análisis y/o auditoría forense.

La escasa preparación de examinadores, peritos, analistas y auditores forenses en este campo se ha convertido en un factor negativo que dificulta enfrentar los retos en materia de cibercrimen (Editor y Centro Criptológico Nacional, 2014). Por esa misma razón es importante proponer, desde la academia, el acompañamiento mediante un entrenamiento efectivo, que no solo reúna capacidades interdisciplinares en otras áreas si no que integre capacidades en la formación técnica para recaudar evidencia en materia de software malicioso.

Dada la misma construcción de estas conductas, estas suelen ser complejas de entender y es difícil darles alcance en una investigación en donde se responsabilice penalmente a una persona. Esto conlleva, en muchas ocasiones, a que los errores judiciales pueden generarse siempre en circunstancias totalmente distintas, dejando por fuera del concurso de conductas otras afectaciones que ameriten una valoración ecuánime dentro del Sistema Penal Oral Acusatorio.

Es importante señalar que los aspectos son fehacientes cuando se empiezan a dilucidar las circunstancias que rodearon el hecho, pero los elementos con los que se prejuzga la actividad cibercriminal o del ciberdelincuente no alcanzan a estudiarse dentro de la ejecución de la acción. De este modo no se alcanza a realizar una consideración superior a favor de la protección del activo de la información y se determinan otros aspectos de relativa conducencia para poder judicializar al sospechoso.

En ese mismo sentido, los Fiscales actuales desconocen las herramientas para poder encauzar este tipo de conductas, dejando en evidencia falencias dentro de las investigaciones penales o cuando se va a realizar una imputación de cargos, momentos en los que se detectan un sin número de errores en materia de interpretación.

Estructuración de un nuevo concepto de adecuación típica frente a una conducta de tipo sofisticado o ‘Maliciosa’

 

Sobre este punto se han citado diferentes doctrinantes para tal efecto; sin embargo, se caería en un error al indicar que el concepto clásico de la adecuación típica cubre totalmente el panorama.  

Indudablemente se debe reconocer que la experiencia nos invita a seguir un camino hacia lo práctico, en el cual se indague sobre los aspectos formales de la conducta y su convergencia desde lo virtual a lo físico. Así pues, se deberá trazar una línea disruptiva para afirmar su univocidad formal y adecuarla para los casos que ofrece el cibercrimen actualmente.

De acuerdo a este análisis, el uso del software para la consecución de la finalidad criminal no se relaciona con la utilización del medio para la consecución del fin. Por ende, no se poseen las calidades de investigación suficientes en materia de examinación, análisis y/o importancia en la valoración final por parte del rector o director de la investigación. En este sentido siempre se carecerá de participación en el señalamiento de una conducta mayor que infiera un delito informático.

Es un hecho que el tema de la información y los datos es cada vez más inquietante y falta indagar en él, sobre todo cuando se busca definir por qué sucede y cómo sucede la materialización del ‘uso’ del software malicioso, cuya actividad se limita a la función lógica o ejecución de tareas para llegar a determinado fin.

Concibiendo el impacto en la Disponibilidad, Integridad y Confidencialidad de los datos e información procesada en ese ecosistema informático, se debe empezar a darle una mirada holística a este tema respecto del daño que pueda causar el uso del software malicioso.

Finalmente se puede concluir por definir las pautas para poder reformular el protocolo de atención ante un incidente que involucre un fraude, un acceso indebido a información privilegiada u otra conducta relativa a un hecho que involucra un sistema de información.

 



 

[1] BYOD: Bring your Own Device traducción al español: Traiga su propio dispositivo

[2] Malware: Software Malicioso, como lo define la guía de atención a incidentes de Malware, NIST SP 800-83 (Recomendaciones del Instituto Nacional de Estandar de Tecnologías, es un programa que insertado en un sistema puede afectar y comprometer la confidencialidad, integridad y disponibilidad de la información en un sistema informático.

Síguenos en: