En este articulo reflexionaré sobre el ciberespacio como el lugar apropiado para el delito y como el sentimiento de impunidad de los ciberdelincuentes aumenta considerablemente el riesgo de que se cometan nuevos delitos, lo que constituye uno de los principales escollos de la política criminal contemporánea. El riesgo está ahí y hay que intentar gestionarlo.

Cuando hablamos de cuantificar el riesgo en ciberseguridad, alejándonos del término coloquial “amenaza” con el que solemos asociarlo directamente, nos referimos al resultado de multiplicar la probabilidad, de que se materialice una amenaza explotando una vulnerabilidad, por el impacto que causaría (por ejemplo, la probabilidad de que un ciberdelincuente explote una web mal configurada por el impacto económico y reputacional que se causaría).

En las teorías criminológicas se habla reiteradamente de los motivos y consecuencias del delito. Con un énfasis similar, en la literatura y en las obras cinematográficas policiacas se alude constantemente a la terna definida por un motivo (móvil), medios y oportunidad. El criminal, para llevar a cabo su delito, debe tener una finalidad (un motivo tal como la venganza, los celos, el dinero, poder o el sexo, entre los principales), así como contar con los medios necesarios con los que ejecutarlo y una oportunidad para materializarlo. Como comentaremos más adelante el ciberespacio es un perfecto ecosistema para que una forma constante y fácil se encuentre esa terna.

A esta terna de presupuestos delictivos le añadiría el “sentimiento de impunidad”. Como enseñan las teorías de preventivas de la pena, el miedo a un castigo ejerce como freno a las conductas antisociales, por lo que su ausencia o poca presencia las favorece. Los criminales son también seres racionales que buscan maximizar su utilidad, así que su decisión de delinquir está influída por un aspecto tan prosaico como si creen que les van a pillar. Obvio, ¿verdad?

4 Riegos del ciberespacio

1.-Impunidad

Una de las tesis de este articulo es que el sentimiento de impunidad es uno de los grandes escollos para la prevención de la ciberdelincuencia. Antes de nada, quiero mencionar alguno de los aspectos de tres teorías criminológicas a las que hace mención Eladio Román en su excelente articulo (que podemos encontrar en internet) al respecto.

  • Teoría del patrón del Delito.
  • Teoría del etiquetado.
  • Teoría de las ventanas rotas.

– A inicios de la década de 1980, Brantingham & Brantingham comenzaron a trabajar en los movimientos en el tiempo y el espacio de las personas que cometen delitos, desarrollando así la teoría de del patrón delictivo. En dicha teoría encontramos los llamados “lugares atractores del delito”: son zonas concretas que representan oportunidades conocidas para el delito y a las que los infractores acuden con la intención de cometer un delito concreto. Claramente el ciberespacio (Internet) responde a ese tipo de lugar.

– Por su parte, la Teoría del Etiquetado identifica como una de las características que la actividad criminal no existe como tal, ningún comportamiento humano, por desviado que sea, se convierte en delito sino en virtud de la actividad de las instancias de control formal (si alguien roba y no es detenido no puede ser calificado de ladrón).

– Finalmente, quiero señalar la Teoría de Las Ventanas Rotas (1969). El Prof. Phillip Zimbardo Universidad de Stanford (EEUU) realizó un experimento de psicología social. Dejó dos autos abandonados en la calle, dos autos idénticos, de la misma marca, modelo y hasta color. Uno lo dejó en el Bronx, por entonces una zona pobre y conflictiva de Nueva York y el otro en Palo Alto, una zona rica y tranquila de California. Dos autos idénticos abandonados, dos barrios con poblaciones muy diferentes y un equipo de especialistas en psicología social estudiando las conductas de la gente en cada sitio. El coche de Bronx a las pocas horas pasó a ser vandalizado, mientras que el de Palo Alto se mantuvo intacto. A la semana los investigadores rompieron un cristal del coche de Palo Alto. El resultado fue que se desató el mismo proceso que en el Bronx, y el robo, la violencia y el vandalismo redujeron el vehículo al mismo estado que el del barrio pobre.

¿Por qué el vidrio roto en el auto abandonado en un vecindario supuestamente seguro es capaz de disparar todo un proceso delictivo? No se trata de pobreza. Evidentemente, es algo que tiene que ver con la psicología humana y con las relaciones sociales. Un vidrio roto en un auto abandonado transmite una idea de deterioro, de desinterés, de despreocupación que va rompiendo códigos de convivencia, como de ausencia de ley, de normas, de reglas, como que vale todo. Cada nuevo ataque que sufre el auto reafirma y multiplica esa idea, hasta que la escalada de actos cada vez peores se vuelve incontenible, desembocando en una violencia irracional.

Sintetizando las tres teorías, si los delincuentes perciben el ciberespacio como un lugar-en-que-la-ley-no-se-aplica; es decir es un espacio de impunidad , causada no sólo por la falta de una cobertura legal internacional para la persecución del delito, sino por cuestiones tan básicas como una falta de cooperación o una protección a las redes de delincuentes desde determinados países, junto con las dificultades inherentes a la prueba electrónica ( existencia de registros, la volatilidad y la dificultad para obtener la cadena completa de acciones a lo largo de los sistemas implicados, entre otras cuestiones) que habitualmente las rodea.

Para ser sinceros, hay que reconocer que, a la dificultad de la territorialidad, la práctica judicial contribuye en cierto modo a acrecentar esa sensación de impunidad. Con frecuencia, especialmente en el ámbito de las estafas cometidas a través de las TIC, los Juzgados de Instrucción evitan acumular causas ante la notitia criminis… y no es su culpa. La saturación de la Justicia, así como la falta de jueces especialistas en criminalidad informática -a diferencia de lo que sucede en la Fiscalía y los Cuerpos y Fuerzas de Seguridad- les hace reacios a las macrocausas. No obstante, las macrocausas son necesarias en algunos casos y ello hay que recalcarlo.

 2.- Motivo

Son los mismos que en el mundo real; siendo las causas principales: el dinero (delincuentes) y el poder (ya sea ejercido por individuos sobre otros individuos o estados sobre otros estados o sobre individuos concretos o por grupos de apoyo políticos o religiosos extremistas).

Por citar un ejemplo, de cómo la búsqueda de notoriedad en Internet encuentra un caldo de cultivo y de desarrollo ideal; pensemos en el extraño caso del delincuente que ha robado recientemente 600 millones de euros en criptomonedas y que parece que las ha devuelto tras recibir una oferta de asesor en seguridad por la empresa víctima, argumentando que sólo quería poner de manifiesto la debilidad del sistema.

 3.- Medios

Aquí si hay una notable diferencia con el mundo físico, los medios que se utilizan para cometer el delito son menos costosos, menos trazables y más fáciles de poseer. Los manuales de uso son completos y tienen a su disposición comunidades de ayuda. Incluso hay ciberdelincuentes que por venganza publican los exitosos manuales de su banda y que tantos millones les ha reportado.

Las vulnerabilidades ya sean técnicas, organizativas, procedimentales o humanas, serán explotadas por bandas profesionales del cibercrimen, pero también por una pléyade de amateurs y aprendices de brujos, que tienen recursos, muchos de ellos automatizados, a su alcance. Como curiosidad citaré que se estima que el 56% de todo el tráfico de internet proviene de fuentes automatizadas, tales como herramientas de piratería, rastreadores, spammers y robots.

4.- Oportunidad

Para ejemplarizar este factor, pensemos de forma individual en un negocio: accesible desde cualquier punto del mundo, abierto 24×7 y con miles de puertas sin vigilar. Todo ello genera una constante situación de oportunidad para el cibercriminal. Y ahora factoricemos esa visión: hay millones de empresas en internet, más de 1830 millones de sitios webs; solo en España el 98,7% de las empresas de 10 o más empleados dispone de conexión a internet, la superficie de exposición es brutal, el maremágnum de tecnologías y de sistemas es inabarcable y las capacidades de control, supervisión y detección no alcanzan a reducir la ventana de oportunidad.

¿Cuál es el futuro del ciberespacio?

Si el riesgo es: probabilidad x Impacto y la probabilidad será cada vez mayor (más medios, más oportunidades, más impunidad) y el impacto para la sociedad, empresas y particulares es también cada vez más elevado el escenario de combate para la disminución del riesgo se vislumbra como poco propicio. Para que no terminemos en una situación caótica se requiere, entre otras herramientas, de:

  • Legislación internacional que facilite la persecución transfronteriza del delito
  • Una mayor presión judicial sobre los delincuentes, incluyendo la agrupación en macrocausas, cuando aplique.
  • Una legislación en esta materia exigente para organismos públicos, empresas y cadena de suministro.
  • La asignación de recursos de defensa a todos los niveles y en todos los estamentos (estado y empresas).
  • La mayor concienciación e implicación de los individuos, como parte de la sociedad, frente a las ciberamanezas.
  • La integración, como parte intrínseca al Negocio, de la privacidad y la seguridad, desde el mismo momento del diseño de productos y servicios.
  • Unos profesionales de ciberseguridad preparados, suficientes en número y adecuadamente retribuidos, así como unas garantías de empresa para el CISO a la hora de ejercer su responsabilidad con la debida independencia.

Francisco Lázaro, CISO Renfe, Presidente del Grupo de Seguridad de Autelsi