El crecimiento de casos y de nuevas modalidades de ciberdelito ponen en tela de juicio la eficacia de los operadores del sistema de justicia y la capacidad del código penal vigente para imputar las nuevas conductas delictivas. A su vez, también se plantean cuestionamientos sobre la responsabilidad del sistema bancario, sus límites, y las obligaciones de los usuarios sobre sus datos.
La Fiscalía y la Policía enfrentan una gama bastante amplia de delitos informáticos, particularmente en lo que refiere al conocimiento que se aplica para concretar el delito y, por ende, el requerido para perseguirlo. Una de las estafas más comunes es la simulación de venta de un producto que no se entrega por medio de perfiles falsos de redes sociales. Diferentes actores consultados coinciden en que en los últimos meses se han complejizado y sofisticado las maniobras de estafa. Un ejemplo de ello es una modalidad que afectó a decenas de usuarios de bancos cuyas cuentas fueron hackeadas para comprar criptomonedas.
Otra modalidad frecuente es la del uso de perfiles falsos de redes sociales simulando ser un conocido de la víctima que se encuentra en el exterior y pide dinero para liberar un supuesto paquete retenido en Aduanas. Esa maniobra implica también la falsificación de un perfil de la empresa de encomiendas que pretende liberar el paquete retenido en Aduanas y desde donde se reclama el pago a la víctima y un comprobante de transferencia bancaria falso con la supuesta devolución del dinero girado por la víctima, por parte del perfil falso de su conocido. También se ha detectado el hackeo de cuentas bancarias para el pago de Sistema Único de Cobro de Ingresos Vehiculares, lo que se concreta en connivencia con el deudor de la patente de rodados.
Las estafas que no superan los 100.000 dólares no son derivadas a las fiscalías especializadas en Delitos Económicos, por lo que recaen en las departamentales o las de Flagrancia, que no cuentan con condiciones adecuadas para perseguir las maniobras más intrincadas.
Willian Rosa, presidente de la Asociación de Magistrados Fiscales del Uruguay, dijo a la diaria que la persecución es compleja, muchas veces no se logra determinar quién está detrás de la maniobra ni hay tiempo para dedicarle a esa investigación.
Rosa planteó que uno de los puntos a cuestionarse es la pena prevista en el delito de estafa, que va de seis meses a cuatro años, cuando a través de los sistemas informáticos pueden concretarse estafas muy dañosas para la víctima, que alcanzan los miles de dólares o cientos de miles de pesos, y lo comparó con la penas previstas para el hurto simple, que van de tres meses a seis años, o una rapiña, que tiene un mínimo de cuatro años.
“Tal vez es más un tema de dosimetría penal que del delito”, señaló Rosa, quien aclaró que opina a título personal, porque el tema aún no ha sido tratado en la Asociación.
Para Rosa existe la necesidad de especializarse para poder avanzar en la persecución penal de este tipo de delitos. “En una Fiscalía de Flagrancia vos estás con la urgencia del turno, la cantidad de casos que tenés, no te da el tiempo material, y eso va en contra directamente de la posibilidad de investigar estos casos, en los que muchas veces tenés que pedir oficios, y cuando querés ver pasó un año y estás en el mismo lugar del que partiste”, comentó.
Además, señaló que el Estado no logra captar a las personas más expertas en la materia, y mientras crecen los casos no hay funcionarios suficientes para la investigación.
“La especificidad es lo que te da resultado, la fiscalía y la Policía tienen que tener conocimiento, no puede ser una madeja que vos no entiendas. Tampoco podés estar investigando una cosa de estas y al lado investigar un hurto con una persona detenida”, agregó.
Otro punto que planteó Rosa es la priorización en función de las posibilidades de éxito de la investigación, y la “perversidad” del sistema de evaluación de la fiscalía, y de todo el sistema de justicia, que mide la eficacia por cantidad de imputaciones, sin contemplar el tiempo de estudio de los casos y la capacitación. “Si logras una imputación va a ser una, y si no la logras, va a ser cero menos todas las otras que no lograste por estar trabajando en esto”, agregó.
Las nuevas tipificaciones y la responsabilidad de los bancos
El vicepresidente de la Asociación de Abogados Penalistas del Uruguay, Eduardo Sasson, dijo a la diaria que existen dos grandes tipos de delitos cibernéticos: los ya tipificados en el ordenamiento jurídico, realizados mediante sistemas informáticos, y aquellos en los que se afecta un dispositivo o un sistema. Sasson señaló que, ante el crecimiento exponencial en el uso de medios electrónicos para guardar datos personales, desarrollar la economía y comunicarse, crecieron los delitos cometidos por quienes tienen mayor conocimiento sobre el funcionamiento de esos sistemas.
Consultado sobre si el código penal vigente contempla estas conductas delictivas o si es necesaria la creación de nuevas figuras, Sasson respondió que la dogmática penal tiende a ser crítica con el expansionismo penal y con la creación de normas por aspectos coyunturales, aunque reconoció que la particularidad de la ciberdelincuencia “ha puesto en jaque algunas cuestiones de la normativa penal”.
Sasson opinó que lo más importante es que los operadores del sistema de justicia estén capacitados para afrontar este cambio. “Para perseguir los delitos hay que prepararse y conocer cómo funciona todo esto, también para no terminar incriminando a personas inocentes por desconocimiento”, señaló.
En cuanto a la responsabilidad de los bancos sobre la concreción de ciberdelitos, Sasson señaló que es importante que el usuario sea consciente de los riesgos que asume a la hora de operar en los sistemas financieros, pero advirtió que las instituciones bancarias “deberían aggiornar sus sistemas de seguridad” y que el Banco Central del Uruguay “debe tomar cartas en el asunto”.
El abogado planteó que existe “un gran número de casos” en los que el banco argumenta que la vulneración del sistema se debió a una falla en su uso. “Ha existido un gran número de casos en los que las instituciones bancarias han trasladado la responsabilidad del autocuidado y la autoprotección a los propios usuarios”, agregó.
Sasson dijo que, si bien se debe reconocer un nivel de autoprotección y de competencia de la víctima, también es necesario que las instituciones elaboren campañas de información y aumenten los niveles de protección de los sistemas.
Consultado sobre el proyecto de ley que establece la tipificación de nueve ciberdelitos, que se encuentra a estudio de la Comisión de Innovación, Ciencia y Tecnología de la Cámara de Diputados, Sasson dijo que en parte plantea tipos penales que son innecesarios porque mediante la legislación ordinaria se podrían aplicar, mientras hay otros que sí son necesarios.
Sasson puso como ejemplo la creación del delito de acoso telemático, que a su entender refiere a una conducta que está contemplada en tipos penales vigentes, como el de violencia privada. Por otra parte, valoró la tipificación de daños a programas y sistemas de documentos electrónicos, del acceso ilícito a datos informáticos y de la destrucción de datos informáticos.
Además, expresó su preocupación por la intención de crear un delito sobre la tenencia de cierto tipo de programas informáticos con los que pueden vulnerarse los sistemas de seguridad. Señaló que eso debería ajustarse a una finalidad concreta, porque podría utilizarse legalmente, por ejemplo, para testear un sistema. “Creo que la mera tenencia del programa no podría ser nunca constitutiva del delito, debería agregarse una finalidad específica”, consideró.
La revictimización en el ciberdelito
Homero Méndez, miembro de la cátedra de Derecho Penal de la Universidad de la República, defendió a varias personas que fueron víctimas de delitos denominados “de ingeniería social”, que implican el intercambio con la víctima del delito para obtener la información necesaria para burlar el sistema.
Méndez planteó como primera preocupación la inexistencia de un área que trate con un abordaje amplio el delito informático. “Lo único que tenemos es un Departamento de Delitos Informáticos que funciona en el Ministerio del Interior, pero que tiene varios bemoles”, señaló.
El abogado dijo que en uno de los casos que tuvo, la víctima seguía en contacto con el victimario, y cuando fue a ampliar la denuncia para brindar esa información a Delitos Informáticos la derivaron a la seccional de su barrio.
Méndez dijo que “no hay un abordaje sistematizado para la víctima” del delito informático; ni en el Ministerio del Interior, ni en el Poder Judicial, ni en la órbita de la Fiscalía General de la Nación. “Lo único que tenemos especializado no funciona bien”, comentó.
El abogado planteó que si bien hay razones presupuestales que afectan la especialización del sistema, tampoco está en la agenda de la política criminal la regulación de los delitos informáticos.
Para Méndez, es imprescindible generar un canal de inmediatez que permita al fiscal de turno dar cuenta al juez competente y congelar las cuentas de quien recibe el dinero. En este sentido, hizo hincapié en que en todos los casos en los que actuó, el sujeto activo del delito tiene una cuenta en la plaza financiera uruguaya. “Si nosotros rápidamente hacemos la denuncia y denunciamos la cuenta, se tendría que poder congelar de inmediato”, agregó.
En esa línea, señaló que eso no afectaría la fluidez y la seguridad de la plaza financiera, porque cada denunciante se hace responsable de su denuncia. “Si congelás la cuenta, evitás que se lleve la plata y la finalidad de quien hace esa maniobra”, advirtió, y planteó que Uruguay es “un campo fértil” para la ciberdelincuencia “porque es muy lento y burocrático”.
Uno de los puntos señalados por Méndez fue la revictimización de las personas que sufren delitos cibernéticos, particularmente aquellos que fueron engañados a través de la usurpación de identidad en redes sociales, y planteó que muchas veces la Policía los trata de ingenuos. “En algunos casos me pasó que las personas no se animaron a hacer la denuncia porque les daba vergüenza ir a dar la cara y explicar que los engañaron”, agregó. Puso como ejemplos una persona que fue víctima por medio de una red social para citas y una que no se percató del perfil falso de Whatsapp de una cuenta empresarial de encomiendas.
Méndez destacó la sofisticación de los victimarios y la dedicación al estudio de la víctima que eligen, en la mayoría de los casos de poder adquisitivo alto o medio. “Cualquiera de nosotros podría ser víctima de ese delito, porque apunta a determinados grados de confianza y manejan un léxico y un conocimiento que llega perfectamente a la víctima”, comentó, y agregó que en los casos en los que trabajó se concretaron giros de varios cientos dólares.
En cuanto a la responsabilidad de los bancos, Méndez opinó que es necesario dar el respaldo normativo a las instituciones financieras para generar fluidez a la hora de suspender las cuentas cuando son investigadas. “Eso podría hacerse fluidamente, pero hay una inoperancia tal que cuando la persona es enganchada, después tiene que peregrinar por la Policía, la Fiscalía y luego el juzgado, y en eso se pasan 15 días”, lamentó.