Has elegido la edición de . Verás las noticias de esta portada en el módulo de ediciones locales de la home de elDiario.es.

Por qué en España es tan difícil sentar a un cibercriminal en el banquillo

La cooperación internacional, útil para que más delitos cibernéticos sean juzgados

José Manuel Blanco

En 2016, el Instituto Nacional de Ciberseguridad (INCIBE) reportó 110.293 ciberincidentes, según datos publicados por el Ministerio del Interior. Además, 479 afectaron a infraestructuras críticas, más del triple que el año anterior, y la red de universidades y centros de investigación informó de otros 4.485. Sin embargo, solo 66.586 llegaron a denunciarse ante un cuerpo de seguridad del Estado y aún menos, 20.453, fueron esclarecidos. En 2017, y a espera de los datos de Interior sobre denuncias, INCIBE dio respuesta y soporte técnico a 123.064 incidentes. 

Algo pasa para que solo una pequeña parte de los delitos informáticos que se cometen en España acaben ante un juzgado y, en su caso, con los responsables cumpliendo condena. Las razones son varias y cada actor implicado en el proceso (fiscales, abogados, guardias civiles) apunta a un sitio: la vergüenza que disuade a las empresas cuando se trata de denunciar, la falta de pruebas sólidas cuando se investiga, la falta de recursos y efectivos para ello o la necesidad de convertir el cibercrimen en una prioridad de Estado son algunas de las más repetidas.

“Creo que en España lo que es la lucha contra la cibercriminalidad todavía es una asignatura pendiente, donde el Estado tiene que decidir si se lo toma en serio o no”, explica Juan Antonio Rodríguez Álvarez de Sotomayor, jefe del Departamento de Delitos Telemáticos de la Guardia Civil, a HojaDeRouter.com.

“Todos los países están poniendo su foco de atención en la lucha y en la persecución de las personas que cometen delitos”, también cuando se ocultan entre unos y ceros. Sin embargo, en la Estrategia de Seguridad Nacional que el Gobierno español publicó a finales de 2017 se echa en falta un compromiso parecido. “En ningún momento del documento aparece la ciberdelincuencia como una amenaza que deba ocupar el protagonismo de una estrategia como esa. En ningún lado”, señala. “Pero sí aparece como amenaza la lucha contra el terrorismo y la lucha contra el crimen organizado”. 

“Bien se puede interpretar que dentro de la amenaza de la ciberseguridad [que sí tiene cabida en la estrategia] pudiera estar el cibercrimen”, puntualiza, “pero eso es un grave error, porque no tiene nada que ver. Mezclamos la ciberseguridad con la cibercriminalidad”. Lo compara con la estrategia de seguridad interior de la Unión Europea, que sitúa como prioritarias y de acción inmediata la lucha contra el terrorismo, contra el crimen organizado y contra la ciberdelincuencia. Al más alto nivel.

Aunque el fondo de seguridad interior de la Unión Europea para el periodo entre 2014 y 2020 destina 3.800 millones de euros a programas que, entre otras cosas, se conciban para combatir el cibercrimen, resulta complicado para las fuerzas españolas acceder a estos fondos. Para solicitarlos, los cuerpos policiales han de redactar un proyecto y, por lo tanto, hacer “un esfuerzo” que no pueden permitirse, explica Rodríguez. Es una situación complicada: sin ayudas no hay medios, sin medios no hay ayudas.

Rodríguez también critica que “no hay el tejido suficiente dentro de los cuerpos de policía vinculado con la lucha del cibercrimen para estar a la altura”. En una ponencia que impartió el pasado mes de diciembre, contó que la Unidad de Delitos Telemáticos a la que pertenece cuenta solo con 30 personas, para una ciberdelincuencia que aumenta a un ritmo del 10 % anual (en 2015 hubo 60.154 denuncias).

Ciberdelitos denunciados en España entre 2013 y 2016 (Fuente: Ministerio del Interior)

Infogram

Pero, a pesar de que los delitos crecen en esa proporción, el número todavía difiere mucho de los más de 115.000 incidentes de los que informó el Ministerio del Interior en su último estudio anual sobre cibercriminalidad. En 2016 fueron 66.586 los “hechos conocidos”, tal y como los denomina el informe; es decir, gente que se trasladó a la Policía Nacional, Guardia Civil, Foral de Navarra y alguna Policía Local para denunciar. “Aunque hay delitos de oficio, si nadie lo traslada a la Guardia Civil, ni nosotros ni el Ministerio Fiscal ni el juez pueden iniciar una investigación de algo que no conoce”, explica Rodríguez.

Hay razones para que parte de estos ciberincidentes se queden por el camino de ser juzgados. La mayoría de estos hechos delictivos suelen estar vinculados a particulares, personas individuales que acuden a denunciar. “Lo que son organizaciones y grandes corporaciones no denuncian ninguna, ninguna. Asumen el riesgo, asumen las pérdidas”, señala el responsable de Delitos Telemáticos. Entre las razones para no hacerlo se cuentan la reputación y la imagen de la empresa, “que todavía pesa mucho más que la persecución del ciberdelincuente”. Hay compañías que creen que su buen nombre se puede ver perjudicado si hacen público que han sufrido un ciberataque.

Esta situación genera “una especie de sentimiento, de idea en el subconsciente del ciudadano y sobre todo de las empresas” de que no existen los recursos suficientes para hacer frente a las denuncias. De esta situación se aprovecha el cibercrimen organizado: en su entorno circula la idea de que no hay que preocuparse por obrar de forma ilícita en España, “porque no van a denunciar”.

El fiscal Jorge Bermúdez, especialista en delitos informáticos, también resalta que son muchos los casos que no llegan hasta los juzgados. En los últimos años se ha visto un auge del llamado fraude del CEO, que consiste en suplantar la personalidad de un directivo de una empresa con cierto nivel económico y engañar a alguno de sus empleados con capacidad para firmar transferencias. Haciéndose pasar por el jefe, piden reenviar el dinero a una cuenta “a un banco de Hong Kong o en otra parte del mundo donde la persecución por medios convencionales resulta prácticamente imposible”, explica a HojaDeRouter.com.

“El problema que tenemos es que la ley nos dice que los delitos que no tienen autor conocido, de primeras, la Policía no los presenta a los juzgados para no sobrecargarlos de grupos de pequeña monta en los que no se conoce al autor”. Pero hay algunos muy graves, “de fraudes por cantidades de hasta 100.000 euros, y evidentemente no pueden quedar en un número policial que no se transmita a las estadísticas judiciales”.

Tecnología para implantar

Bermúdez también echa en falta soluciones tecnológicas para investigar, algo en lo que coincide Rodríguez, “dedicadas no a protegernos de los incidentes de ciberseguridad, sino herramientas para manipular y obtener información que sirva para poder atribuir un hecho delictivo a un delincuente”, detalla el guardia civil.

En 2015 se actualizó la Ley de Enjuiciamiento Criminal para incluir esas herramientas con las que perseguir a delincuentes, como agentes encubiertos (que en Estados Unidos sirvieron para llegar hasta la organización y desmantelar Silk Road, el supermercado de la droga en la internet oscura) o software de control remoto: la norma permite el uso, con autorización judicial, de programas informáticos para obtener información del equipo de un sospechoso.

Sin embargo, “los técnicos todavía no saben si se puede llevar a cabo o si puede ser un arma de un único uso”, explica el fiscal. “Es decir, te gastas un dineral en desarrollar un software que hace todo esto y resulta que, cuando llegas a juicio, la defensa va y te pide como contrapericial el código fuente, con lo cual automáticamente pasa a ser público en cuanto termina la fase de juicio oral, y automáticamente todas las compañías de antivirus lo pasan a considerar un malwaremalware”.

Si el presunto ciberdelincuente está en el extranjero, la colaboración con otros cuerpos policiales también se frustra: “Se puede identificar más o menos a una persona allende los mares que pueda resultar la culpable, pero conseguir una cooperación internacional para traer a este tipo ante nuestras autoridades es prácticamente imposible”, cuenta Bermúdez, lo que provoca “una frustración”. Por todo esto, en su opinión, se está dando un auge de la ciberseguridad, de la prevención y la mitigación “y se está un poco dejando de lado la persecución de la ciberdelincuencia”.

¿Qué es delito?

Mientras que guardias civiles y fiscales hablan de los ciberincidentes que se quedan sin solución, un debate paralelo es que algunas denuncias no tienen la suficiente envergadura para comenzar el proceso judicial. El abogado Carlos Sánchez-Almeida, especializado en delitos de internet, cree que ciertos casos se hinchan en las ruedas de prensa policiales aunque las pruebas son “inconsistentes”, sobre todo cuando afecta a hackers. Y recuerda uno en concreto: en 2011, la Policía aseguró haber desmantelado la cúpula de Anonymous en España; ante los medios mostró una de las caretas incautadas a las personas detenidas, para mofa de internet.

El abogado barcelonés, que ha llevado muchas de estas causas, ha comprobado que conforme avanza la investigación y se va analizando la información incautada, “en ocasiones se desinfla por el camino. Hay veces que hay pruebas y hay veces que no”, señala a HojaDeRouter.com.

Sobre la novedad de la Ley de Enjuiciamiento Criminal que abre la puerta al uso de ciertas ciberarmas, Almeida alerta de que “ponen en grave riesgo nuestro derecho a la privacidad”, ya que se podrían utilizar para cualquier delito supuestamente cometido a través de medios informáticos “por leve que sea”.

Estudio sobre la cibercriminalidad en España 2016 (Fuente: Ministerio del Interior)

Infogram

Asignatura pendiente

A la espera de conocer las cifras oficiales de 2017, la persecución del cibercrimen sigue siendo una “asignatura pendiente” en España, pese a que, en palabras de Rodríguez, “tiene el protagonismo suficiente para ponerla a la altura de la lucha contra el terrorismo y contra el crimen organizado”. Por eso pide al Estado que se la tome en serio, asigne recursos y la coloque al mismo nivel que otros delitos.

Mientras tanto, hay razones para tener esperanza: la colaboración entre los cuerpos policiales y las empresas del sector es cada vez más estrecha. “Para luchar contra la ciberdelincuencia, los conocimientos y la tecnología la tienen las empresas de ciberseguridad. Y en España tenemos muy buenos especialistas y grandísimas empresas”, sentencia Rodríguez.

--------------

Las imágenes son propiedad de Guardia Civil y Boris Jódar

Etiquetas
stats