El presente documento tiene por finalidad ser una guía ante la amenaza de ciber fraudes que se están generando a nivel mundial explicando de la manera más práctica posible en qué consisten las principales tipos de estafas que se realizan a través de medios tecnológicos, algunas recomendaciones en materias investigativas que pueden ser útiles a la hora de tener que tramitar una causa penal de este tipo y un breve acercamiento a lo que la legislación Chilena establece al respecto y las herramientas que entrega.
¿Qué es el cibercrimen?
Consiste en todas las actividades ilícitas que ocupan Internet o el ciberespacio como lugar del delito. Desde accesos no autorizados a información digital, sabotaje y robo de información, hasta fraudes virtuales.
Los delitos informáticos más recurrentes en Chile son el malware y el phishing, mediante los cuales los atacantes buscan robar información personal, contraseñas o dinero, a través de mensajes falsos de e-mail o sitios web que parecen legítimos.
En el año 2019, según cifras de NovaRed, en Chile los delitos informáticos aumentaron en más de un 74% respecto al último trimestre del año anterior, siendo los principales que afectan a las empresas los del tipo malware, donde casi el 50% tienen relación con Ransomware o alguna variante de éste. Por otro lado, el principal método de propagación empleado por los ciberdelincuentes continúa siendo el phishing, donde casi el 91% de los ataques emplean esta metodología. Estos números siguieron creciendo en el 2020 manteniéndose el phishing como el principal método.
Según medios de comunicación, 165 mil usuarios hicieron denuncias en segundo semestre de 2020 por fraudes, por $54.000 millones, unos US$73 millones. Estas denuncias se dividen en fraudes en tarjetas de crédito, 57.343 denuncias de este tipo (34,7% del total). Le siguen las tarjetas de débito con 40.036 usuarios afectados (24,2%), muy cerca se posicionan las transferencias electrónicas con 39.825 casos (24,1%) y robos o transacciones en cajeros automáticos, 26.143 (15,8%).
Algunas definiciones y alcances conceptuales de los ciberdelitos más comunes en el ámbito del fraude:
Acceso indebido a sistemas (haking)
Es el ilícito más básico y el hackeo más simple de todos. Consiste en el ingreso indebido o no autorizado a un sistema informático; desde la apertura de un email sin autorización del dueño, hasta el ingreso pirata a una cuenta de Facebook y el robo de información confidencial o sensible.
Virus informáticos
Es el ciberdelito más antiguo de todos. Comenzó como un programa informático diseñado para contaminar discos duros y destruirlos. Hoy, sus posibilidades son infinitas gracias a su versatilidad. Como buen virus, se propaga fácilmente mediante portadores voluntarios e involuntarios; emails, mensajería móvil, publicidad online, entre otros.
Phishing
Es el tipo de estafa por internet más conocido hoy en día. Su nombre deriva de un juego de palabras con el término pescar en inglés (fish), dado que la víctima “muerde el anzuelo”. Consiste en el envío de falsos correos electrónicos y mensajería online mediante chats y aplicaciones móviles que dirigen usuarios a un sitio web falso, con el fin de obtener su información personal como claves de acceso y otros datos para robar cuentas bancarias. Con esta técnica, los ciberdelincuentes son capaces de alterar mínimamente la URL (dirección) de un sitio web y crear una web falsa, casi idéntica a la real, con detalles casi imperceptibles lo que hace que gran parte de las personas se transforme en víctimas. Este es el tipo de ataque que más ha crecido desde los inicios de la crisis sanitaria.
Pharming
En este caso la víctima sufre el delito en un mundo virtual totalmente falso sin darse cuenta. Todo gracias a un virus que ingresa a su computador y que envía al usuario a una página web falsa de su banco u otra, que copia sus datos de acceso y transfiere el dinero en segundos. El concepto responde a un juego de palabras con el término en inglés para cultivar (farming), porque los ciberdelincuentes “cosechan” el dinero de sus víctimas.
Malware
Es un “software malicioso” que se inserta en los sistemas operativos o discos duros de computadores y smartphones para recolectar la información que genera el usuario. Por lo general su descarga es automática y sin previo conocimiento del usuario como archivo adjunto desde emails publicitarios falsos, páginas web hechizas, o apps supuestamente gratuitas. Su uso es también versátil; desde capturar información para enviar SPAM con publicidad hasta el robo de datos confidenciales para su tráfico.
Ransomware
Este ciberdelito hizo su debut mundial en 2017 con Wannacry, programa informático malintencionado que impidió el acceso a la información de determinados archivos o todo el disco duro de computadores de empresas en todo el mundo. Su valor está en que cifra los datos para hacerlos imposibles de acceder excepto por un sistema de descifrado específico que los hackers desarrollan para ese fin, previo pago de una cuantiosa suma de dinero. Se llama de esta manera ya que constituye un verdadero secuestro del sistema de la empresa y solo se libera ante el pago de un rescate (randsom).
Estafas en entornos digitales, aprovechamiento de vulnerabilidades de los sistemas.
Fraude a través de Phishing:
Habiendo ya explicado lo que es el phishing como la forma más común de ciberdelito, paso a explicar de qué forma se utiliza esta estrategia de ciberataque para realizar estafas virtuales. Un ejemplo práctico es el caso que se dio el 31 de octubre de 2021 con un masivo envío de correos electrónicos personalizados fraudulentos destinados especialmente a clientes del Banco Macro de Argentina. El mensaje que recibieron los clientes del banco indicaba que ya se había acreditado el monto del Ingreso Familiar de Emergencia (IFE) y derivaba a un link, en donde está el anzuelo para que se ingrese. Con una página falsa, con logo del banco, solicitan que coloquen el número de cuenta y clave, o sea, el acceso a la cuenta”.
La tentación de ingresar al link que figuraba en el mensaje permitía acceder a una falsa página oficial del Banco para volcar allí sus datos confidenciales. Ya con los datos en su poder, los estafadores se encargan de vaciar las cuentas e iniciar una cadena de transferencias a cuentas bancarias de dudoso origen, difícil además de ser rastreadas. “Estas técnicas trabajan sobre cálculo estadísticos. Tienen asegurado un porcentaje de éxito, hay un porcentaje estudiado, porque se observa una organización” según los antecedentes entregados por el jefe de la Unidad Fiscal Especializada en Cibercrimen de ese país a la prensa.
Fraude con tarjeta de crédito:
El fraude con tarjeta de crédito implica el uso no autorizado de la información de la tarjeta de crédito de una persona con el propósito de cargar compras en la cuenta de la víctima o extraer fondos de su cuenta. El fraude con tarjeta de crédito está considerado como una forma de robo de identidad. Debido a la popularidad de las compras en línea, los delincuentes ya no necesitan una tarjeta de crédito física. Con el nombre del titular, el número de la tarjeta de crédito y la fecha de vencimiento es suficiente. Cuando un pirata informático (hacker) abre una base de datos o hay una falla en el sistema y se libera la información de las tarjetas de crédito de sus usuarios, inmediatamente millones de cuentas se convierten en potenciales víctimas de este delito.
Se dividen en 2 tipos: solicitud fraudulenta de tarjeta y apropiación fraudulenta de cuenta. En el primer caso, los estafadores abren cuentas de tarjetas de crédito a nombre de otra persona. Esto ocurre cuando el delincuente tiene suficiente información sobre la víctima para completar la solicitud de la tarjeta de crédito. Por otro lado, el delincuente puede falsificar documentación. Este sistema representa un grave problema porque el delincuente puede realizar numerosas compras sin que la víctima se entere. El estado de cuenta puede tardar un mes en llegar, si es que llega.
Otro método de apropiación fraudulenta de cuenta es la duplicación de tarjetas de crédito. Los empleados que tienen acceso a las tarjetas de crédito de los clientes toman nota de la información de la tarjeta y la utilizan de manera fraudulenta o los delincuentes a través de diversos medios como la utilización de skimers obtienen una clonación de la tarjeta. La forma de utilización más común de los skimers es en los cajeros automáticos o ATM y en las máquinas de pago transbanck y de otras marcas, copiando la banda magnética de la tarjeta que contiene todos sus datos. Esta última forma de clonación de tarjetas ya está pasando de moda con la aplicación de nuevas tecnologías y métodos de seguridad para las tarjetas de crédito y débito que ahora tienen chip y no banda magnética lo que dificulta su clonación. Así, en la actualidad está más de moda el robo de bases de datos de tarjetas y su comercialización en la Deep web, las llamadas telefónicas de falsos ejecutivos bancarios solicitando información clave de los clientes y los correos electrónicos falsos que contienen enlaces a códigos maliciosos.
En cuanto a las apropiaciones fraudulentas de cuentas, estas implican que el delincuente se apodera de una cuenta existente. Con suficiente información personal sobre la víctima, el delincuente se comunica con el banco o con la compañía de la tarjeta de crédito y solicita que se cambie la dirección de facturación. Luego, denuncia la pérdida o el robo de la tarjeta de crédito y solicita que se envíe otra tarjeta a la nueva dirección. De esta manera, el delincuente puede realizar compras fraudulentas con la tarjeta.
La principal diferencia entre el fraude con tarjeta de crédito y el que se realiza con tarjeta de débito es que en el primero el dinero que se sustrae o utiliza es del banco y en el segundo el dinero es del titular de la cuenta, diferencias que han sido comúnmente utilizadas en la judicialización de estos asuntos para discutir de quién es la responsabilidad, quién debe soportar el perjuicio, situación que actualmente se encuentra zanjada en Chile a partir de la publicación de la Ley 21.234 de mayo de 2020, que obliga a los bancos e instituciones financieras a responder en la mayoría de los casos lo cual analizaremos más adelante.
Scamming:
Se denomina scamming en términos generales al proceso destinado a conseguir que una persona o grupo de personas entreguen dinero bajo falsas promesas de beneficios económicos. Es un delito que consiste en provocar un perjuicio patrimonial a alguien mediante engaño y con ánimo de lucro utilizando como medio la tecnología. En sentido amplio puede tratarse de una promesa de viajes, vacaciones, premios de lotería, etc. Las cadenas de correos electrónicos engañosas pueden ser scams si hay pérdida monetaria. Scam no solo se refiere a estafas por correo electrónico también se les llama así a los sitios web que tienen como intención ofrecer un producto o servicio que en realidad es falso siendo por lo tanto una estafa y parte de un conjunto de delitos informáticos.
Esta forma de estafa suele darse en el marco de la bolsa de valores. En ese ámbito el scamming es el proceso mediante el cual se envía un twit, se crea una página deFacebook o se envía un correo electrónico (email) no deseado (es decir un “spam”) con la invitación a invertir en determinada acción. Puede incluir también un link a páginas web fraudulentas. Además de emails el scamming se realiza en blogs videos y boards o foros de debate sobre acciones. Pero dicha invitación es engañosa y la promesa de grandes retornos no es más que una estafa para que se la compre y se arme un efecto cascada que la haga subir para darle salida a aquel que originó el scamming.
Fraude man in the middle:
Es un fraude informático que permite interceptar las comunicaciones electrónicas, normalmente el correo electrónico entre 2 empresas, observando el atacante las operaciones y procedimientos de facturación para en un momento suplantar la identidad de una de las empresas la que emite una factura u orden de pago, falsificando el documento y entregando una cuenta bancaria del atacante. Se trata de una cuenta bancaria controlada por los ciberdelincuentes pudiendo entenderse que el eslabón más débil de esta cadena es la persona que presta sus antecedentes para abrir esta cuenta bancaria o prestar su cuenta a cambio de una comisión. Un ejemplo de real esto es de una empresa con sede en Chile a la cual un proveedor le envió un correo electrónico que solo variaba en una letra del original (en su remitente) del encargado de contabilidad de un comprador asiduo, con el que habían estado enviándose correos para una compra internacional por varios millones de dólares, señalando en el correo que necesitaban que el pago no se hiciese en la cuenta en la que comúnmente se hacía en un banco de Brasil (filial Brasilera) sino que necesitaban que se hiciera en otra cuenta distinta en México (cuenta de los atacantes). Siendo empresas internacionales no pareció tan extraña la solicitud, pero finalmente pudieron percatarse de que se trataba de una estafa. En estos casos lo que hace el titular de la cuenta bancaria utilizada para la estafa es transferir de inmediato a un gran número de cuentas bancarias el dinero descontando su comisión y los demás lo hacen de la misma manera a otras cuentas por lo que el dinero desaparece rápidamente. Esto es lo que comúnmente se conoce como burreros digitales o palo blanco, personas naturales o empresas que prestan sus cuentas bancarias bajo una comisión y transfieren el resto de los fondos a otra cuenta de acuerdo con lo solicitado por el contratante.
En estos casos el mulero digital o palo blanco puede entenderse como un colaborador del delito, un cooperador necesario o cómplice, quien aduce que alguna persona que no conoce bien le solicitó este favor ante una emergencia bancaria con la promesa de un pago. Teniendo en cuenta el principio de presunción de inocencia será difícil acreditar el elemento subjetivo del tipo, acreditar el conocimiento y voluntad de parte del sujeto. Parte de la doctrina y jurisprudencia estiman que será poco útil recurrir a la ignorancia deliberada, en el sentido de que el plan que se le proponía era tan atractivo o rentable que el sujeto a pesar de que no conocía debió conocer que se trataba de un delito, o al menos representarse como altamente probable que estaba colaborando con la comisión de un delito por tanto se le puede imputar participación. La teoría de la ignorancia deliberada entiende que es tan deliberada la ignorancia que debe responder a título de dolo aquel sujeto que actúa imprudentemente de manera voluntaria a sabiendas de que no le es conveniente tener mayor información, prefiriendo no saber lo que sucede para evitar verse involucrado en algún delito alegando desconocimiento, razón por la que estos sujetos debiesen responder a título de dolo por haber sido deliberada su ignorancia respecto a las circunstancias que envuelven el delito. En estos casos lo que se debe intentar hacer es obtener una medida cautelar inmediata para congelar la cuenta a la cual se han transferido los dineros a fin de lograr recuperarlos y luego proseguir con la persecución por delito de estafa. La otra vía es intentar perseguir a ese titular de la cuenta por el delito de blanqueo de capitales, lavado de activos, tratándose de un delito muchísimo más amplio en cuanto consiste en ocultar o disimular de cualquier forma el origen de los bienes adquiridos como también el adquirir, poseer, tener o usar tales bienes con ánimo de lucro, existiendo también en la legislación Chilena una figura de imprudente del lavado de activos que sanciona a la persona o empresa que por negligencia inexcusable no advirtió que determinados activos tenían un origen ilícito. Es decir, no solo comete este ilícito la persona que incorpora los bienes al sistema financiero sino también podría cometerlo aquel intermediario que adquirió, poseyó, tuvo o uso tales activos y que, por falta de la debida diligencia, no detectó su origen ilícito.
Estafas a través de transferencias bancarias
Este tipo de ciberfraude se realiza en primer lugar a través de la obtención del usuario y clave del titular lo que normalmente ocurre a través de un phishing o de algún otro engaño (de igual forma que para los casos de fraude con tarjetas de crédito y débito normalmente vía telefónica) para que el titular transfiera el dinero a una cuenta fraudulenta lo que normalmente se dan los viernes en la tarde, antes de cierre de los bancos.
Una vez que el ciberdelincuente tiene los datos solo basta que transfiera dinero a la cuenta de algún burrero digital y así sucesivamente como ya se ha explicado para otros delitos a fin de hacer desaparecer el dinero. ¿Cuáles serían los caminos a seguir? La identificación de la IP desde la cual se realizó la transacción bancaria, desde la cual se conectaron a home banking y la identificación del titular de esa IP junto con los datos utilizados para el servidor utilizado, además de la ubicación del lugar desde adonde se realizó la transacción. La alternativa es seguir el dinero. Identificar la cuenta de destino e intentar impedir que los dineros se extraigan o se transfieran a otra cuenta. Lo primero es el bloqueo de la cuenta de destino que debe ser autorizado por un juez. He aquí la importancia de poder coordinar de manera rápida con el banco una vez obtenido el bloqueo de cuenta.
Aspectos prácticos en la investigación de estos delitos
Para los casos de fraude con tarjetas de crédito y débito, al igual que aquellos realizados mediante transferencias bancarias en primer lugar, hay que señalar que en Chile estos asuntos se judicializan en los Juzgados de Policía Local a través de la Ley de Protección al Consumidor y en caso de existir un delito se pueden judicializar en sede penal en los juzgados de Garantía. Sin perjuicio de esto muchas veces el asunto se judicializa a través de un Recurso de Protección que es un recurso rápido y expedito para que un tribunal superior revise la vulneración de alguno de los derechos fundamentales que establece la constitución chilena. En estos casos, la víctima atribuirá al Banco un defectuoso servicio de internet; mientras que la entidad, pretenderá descargar en la víctima su responsabilidad, enfocando el infortunio en el manejo descuidado de claves o contraseñas. De acuerdo con lo establecido en la ley chilena, se invierte la carga de la prueba, es el banco o institución financiera el que tendrá que probar su diligencia y la negligencia del cliente como causa basal del perjuicio producido para eximirse de responsabilidad.
En los casos que se ventilen en los juzgados de policía local será importante para la institución financiera demostrar que existió al menos una negligencia grave en el uso de las claves de parte del cliente o que el beneficiario tiene alguna relación con el titular a fin de evitar hacerse cargo de los perjuicios.
En la práctica los bancos utilizan como estrategia la manifiesta falta de cuidado en la administración de productos bancarios especificando detalles de los que debiese haberse percatado la víctima para entender que estaba ante un fraude como por ejemplo en casos en los que la víctima entrega su clave a raíz de una llamada telefónica de un tercero aduciendo que la víctima al menos debió de haber corroborado el asunto con el banco antes de entregar estos antecedentes personales y sensibles. La prueba de estos casos se ve dificultada por la imposibilidad de probar quién realizó la transacción lo cual debe establecerse en sede penal a través de una investigación. Se alega que, el banco no fue objeto de algún sabotaje o saqueo informático por lo que no se debiese invertir la carga de la prueba, debiendo probar quién alega. Y en este sentido el argumento que ha sido aceptado por las Cortes de Apelaciones en Chile es la falta de relación causal entre una posible infracción del Banco y el perjuicio sufrido por la víctima (considerando octavo Recurso Rol 43-2019 Corte de Apelaciones de Coyhaique). A esto se suma que la institución financiera debe demostrar que la compañía realizó todas las acciones posibles para evitar este tipo de situaciones básicamente informar y educar a la población además de establecer otros métodos preventivos para evitar los fraudes.
En otros casos los bancos además se basan en la responsabilidad exclusiva que pesa sobre el titular de una cuenta respecto de la confidencialidad de su clave y resguardo de su digipass, 2 elementos de seguridad entregados por los bancos y que solo son vulnerables a la negligencia de parte del titular. Por tanto, no existe una infracción de parte del banco o institución financiera cuando el titular de una cuenta entrega o utiliza negligentemente dicha información y esto le acarrea un perjuicio, no existiendo un nexo de causalidad entre el perjuicio y la conducta desplegada por el banco, no habiendo ninguna falla en los sistemas de seguridad ni infracción a lo contratado de parte de este último. Esta argumentación ha sido admitida por la Corte de Apelaciones de Santiago en causa Rol 77-2019, absolviendo al banco de responsabilidad entendiendo que efectivamente es el titular de la cuenta quién no debe ser negligente en el uso de sus datos. De la misma forma ha fallado la Corte de Apelaciones de Copiapó en causa Rol 62-2016 quienes, mediante la utilización de las reglas de la sana crítica, utilizando la lógica y los principios científicamente afianzados además de las máximas de la experiencia entienden que en estos casos lo que se tiene que determinar es si el banco o institución financiera ha sido negligente en cumplir con las obligaciones que le impone la Ley de Protección al Consumidor. De esta forma bastaría con la prueba presentada por el banco en relación con que la transacción fraudulenta se habría realizado con la clave personal del titular y la clave de su digipass.
En contravención a esto, enigmático es un fallo de la Corte Suprema Rol 2196-2018 por un caso ocurrido en la ciudad de Antofagasta el año 2018 en el que a causa de un malware (N40 Botnet que se propaga vía correo electrónico y llegó a afectar a la gran mayoría de las instituciones financieras en Chile el cual espera dormido hasta que ingreses a la página de un banco para atacar y robar tus datos) un usuario ingresa a la página del banco, o al menos a la que él pensaba que era la página oficial, con su usuario y clave, lo que acarrea que se despliegue ese malware instalado en su computador y le sustraen el dinero desde su cuenta corriente y línea de crédito. En este caso el máximo tribunal del país estimó que el afectado por el fraude era la institución financiera y no el cliente estableciéndose así un sistema de responsabilidad objetiva sin tener en cuenta la diligencia y cuidado que tiene cada uno de los intervinientes en el sistema de pago. De la misma forma durante el año 2019 son diversos los fallos de la Corte Suprema que señalan que los bancos son responsables de las operaciones bancarias con patrones de fraude. El uso de claves de manera irregular, transferencias bancarias a personas naturales y jurídicas inusuales, transferencias sobre el monto máximo permitido, medidas de seguridad tardías del banco y otros criterios, son los que están fijando el estándar de cuidado de las entidades bancarias. Así la Justicia tiende a fallar que el dinero al momento de ser robado es del banco, ya que cuando una persona deposita su dinero, el banco la puede utilizar con otros fines -dar préstamos, intermediación financiera, entre otros-, pero cuando el cliente solicita que le entreguen su dinero de regreso en la cuenta corriente, la entidad tiene que devolver lo mismo que había depositado el usuario. La obligación de custodia del dinero recae sobre un bien fungible, en que coexiste una doble titularidad, que justifica que, para el caso de sustracción o fraude sin la intervención o participación del cliente, la infracción al deber de resguardo y la disponibilidad posterior de estos caudales recae en el banco depositario y no en el depositante. Así se ha resuelto consistentemente que el banco es en quien recae finalmente el deber de eficaz custodia material de éste, debiendo adoptar, al efecto, todas las medidas de seguridad necesarias para proteger adecuadamente el dinero bajo su resguardo. Esto a pesar de que el banco demuestre en juicio haber realizado diversas acciones en este sentido.
Indistintamente de los resultados judiciales de estos casos, y a que ya en la actualidad existe una ley que establece el sistema de responsabilidad ante estos fraudes, llama profundamente la atención que en muchos de estos casos los defraudadores tienen una cantidad considerable de datos de las personas defraudadas. ¿De adonde sacan esa información? Es aquí donde probablemente se relacionan los casos de robo de información de que son víctimas las instituciones financieras lo que implicaría una vulneración a sus sistemas que permitiría que se generaran estos delitos.
Por otro lado, en caso de que se pretenda judicializar estos casos en sede penal será importante la identificación de la IP desde la cual se realizó la transacción fraudulenta, al igual que la geolocalización del lugar desde el cual se realizó dicha transacción. En caso de haber sido una utilización física de la tarjeta será importante establecer el lugar en el que se realizó y si es un lugar en el que existen cámaras de seguridad que permitan identificar a la persona que la realizó. Es clave la identificación del destinatario del beneficio, o sea del lugar en el que se reciben las especies adquiridas mediante las compras o cuenta a la cual se transfiere el dinero junto con los datos del titular.
Van a ser clave en el ámbito penal las diligencias investigativas que se realicen como el levantamiento de secreto bancario de la cuenta a la cual se transfirieron los dineros y luego la misma diligencia para aquellas cuentas a las que fueron transferidos los fondos sucesivamente. Solicitar las cámaras de seguridad de aquellos ATM en los que se haya retirado dineros. Solicitar la identificación de la IP desde la cual se realizaron los accesos a la banca electrónica lo que nos debiese llevar en algunos casos al estafador ya que a la mula muchas veces ni siguiera se le da acceso a la cuenta creada con sus datos, sino que es el defraudador el que la administra. Una vez identificado el mulero o dueño de la cuenta utilizada, se pide un informe al Servicio de Impuestos Internos para saber los ingresos del sujeto y a la superintendencia de bancos para saber cuántas cuentas bancarias tiene, adonde, sus movimientos y un informe a la Dirección del Trabajo para para ver si tiene o no trabajo remunerado.
Lo normal es que estos ciber estafadores manejen y tengan el control absoluto de esta cuenta creada por la mula que ni siquiera tendrá las claves, por lo que si averiguamos desde que IP se tuvo acceso a la banca electrónica para ordenar las operaciones probablemente podamos dar con el verdadero estafador quién no va a ir físicamente al banco. Por otro lado, es importante la detección del número vinculado a la IP ya que muchas veces las operaciones se hacen a través de un aparato móvil, un celular, por lo que podemos rastrear los datos de la persona asociada a la cuenta a menos que se trate de un prepago. En caso de existir un plan post pago también nos será útil cualquier otra información que aparezca en el contrato asociado a la cuenta, datos del titular, tipo de servicio prestado, incluso la dirección. También es importante revisar los dominios de correo electrónico del titular y el lugar en el que se creó ese correo electrónico ya que el hosting puede estar asociado a una IP o incluso a un pago con tarjeta de crédito, a pesar de que lo más probable es que el ciberdelincuente vaya un paso más adelante y ya haya borrado sus huellas o haya dejado unas falsas utilizando datos de otros usuarios y tarjetas de crédito robadas o adquiridas en la Deep Web. Identificar las terminales como la geolocalización del terminal móvil gracias a los repetidores o estaciones base fijas para identificar el lugar en el que se encontraba el teléfono celular al momento de realizar las transacciones y solicitar el listado de llamadas entrantes y salientes mientras se ejecutaba el delito o al menos en momentos cercanos a este.
En Chile esto se debe solicitar a través de la fiscalía, y en caso de que los antecedentes probatorios de la causa se encuentren en el extranjero, que se realicen las diligencias investigativas a través de la Unidad UCIEX y de los tratados de asistencia legal Mutua (MLAT) y las normas del Convenio de Budapest.
Regulación Chilena para robos y fraudes en el uso de tarjetas e instrumentos financieros. Ley 21.234 de mayo de 2020.
Esta ley regula la responsabilidad aplicable en los casos de extravío, hurto, robo o fraude de tarjetas de servicios financieros. Se incluyen las problemáticas que se producen con tarjetas de crédito y débito emitidas por bancos e instituciones financieras o casas comerciales, además de regular las situaciones de fraudes en transacciones electrónicas (operaciones realizadas por medios electrónicos que originen cargos y abonos o giros de dinero en cuentas corrientes bancarias, cuentas de depósitos a la vista, cuentas de provisión de fondos, tarjetas de pago u otros sistemas similares), o sea cargos a las cuentas, pagos, transferencias, avances en efectivo, giros en cajeros automáticos y otras operaciones.
Lo que hace esta ley es limitar la responsabilidad del usuario al avisar a la institución financiera y obliga a esta a responder hasta ciertos montos de manera casi inmediata y en caso de que decida no responder deberá probar la culpa grave o dolo de parte del usuario en sede judicial.
Esta ley obliga a los bancos y otras instituciones a mantener una serie de resguardos para evitar los fraudes y mantener informados de los riesgos a sus clientes. Tener canales de comunicación directo 24/7 para denunciar delitos de los que se pueda haber sido víctima, entregando un número de atención o denuncia y la obligación de bloqueo del medio de pago de forma inmediata, a partir de ese momento la institución financiera pasa a ser responsable de cualquier transacción que se realice con el medio de pago o producto financiero. Obliga a contar con sistemas de monitoreo que tengan como objetivo detectar aquellas operaciones que no corresponden al comportamiento habitual del usuario, implementar procedimientos internos para gestionar las alertas generadas por dichos sistemas de monitoreo, identificar patrones de potenciales fraudes, conforme a las prácticas de la industria y recomendaciones y establecer límites, controles en los diversos canales de atención que permitan mitigar las pérdidas por fraude, entre otras.
Respecto de las transacciones realizadas antes de dar aviso pudiendo incluir operaciones realizadas hasta 120 días antes del reclamo. Si el monto del reclamo es inferior a 35 UF (poco más de 1 millón de pesos chilenos o alrededor de 1.330 dólares) la institución está obligada a restituir el valor dentro del plazo de 5 días. Si el monto es superior, la institución financiera tiene un plazo de 7 días extra para restituirlo o judicializar el asunto ante los Juzgados de Policía Local a través de las normas de la Ley de Protección al Consumidor, persiguiendo la eventual responsabilidad del cliente, de todas formas, igual debe restituir hasta 35 UF. En el proceso, se considerará si la empresa alertó del fraude al usuario e identificó las operaciones sospechosas. En todo caso, la empresa financiera deberá probar que el cliente autorizó la operación cuestionada. El solo registro de las operaciones no bastará, necesariamente, para demostrar que fueron autorizadas por el usuario, ni que el usuario actuó con culpa o descuido que le sean imputables, sin perjuicio de la acción contra el autor del delito, se hace sumamente difícil para la institución financiera tener éxito en estos casos. En el caso de haber delito, las causas las investiga el Ministerio Público (Fiscalía) en el marco de la competencia de la justicia penal pero hasta ahora no ha sido parte de la estrategia de los bancos el perseguir estos delitos por esta vía principalmente por los costos asociados.
Si el juicio lo gana el cliente, la institución financiera está obligada a restituir los dineros defraudados con reajustes e intereses.
La Ley de Delitos Informáticos (N° 19.223) en Chile
La Ley de Delitos Informáticos (N° 19.223) que tiene Chile data de 1993, no obstante, desde ese mismo año no se han hecho cambios, aunque en la actualidad se tramita en el congreso una nueva ley que la actualiza a los principios y normas del Convenio de Budapest y a las necesidades actuales. Esta ley contiene solo 4 artículos que engloban actividades como el haking y las distintas formas de afectación de sistemas informáticos ya sea para modificarlos, dañarlos, inutilizarlos o sustraer información además de la difusión o comercialización de esta información sustraída.
- “Artículo 1°.- El que maliciosamente destruya o inutilice un sistema de tratamiento de información o sus partes o componentes, o impida, obstaculice o modifique su funcionamiento, sufrirá la pena de presidio menor en su grado medio a máximo.
- Si como consecuencia de estas conductas se afectaren los datos contenidos en el sistema, se aplicará la pena señalada en el inciso anterior, en su grado máximo.
- Artículo 2°.- El que con el ánimo de apoderarse, usar o conocer indebidamente de la información contenida en un sistema de tratamiento de la misma, lo intercepte, interfiera o acceda a él, será castigado con presidio menor en su grado mínimo a medio.
- Artículo 3°.- El que maliciosamente altere, dañe o destruya los datos contenidos en un sistema de tratamiento de información, será castigado con presidio menor en su grado medio.
- Artículo 4°.- El que maliciosamente revele o difunda los datos contenidos en un sistema de información, sufrirá la pena de presidio menor en su grado medio. Si quien incurre en estas conductas es el responsable del sistema de información, la pena se aumentará en un grado.”.
Si bien las figuras jurídicas en Chile son acotadas, la mayoría de los delitos informáticos se puede subsumir en delitos de otro tipo y estimar que la parte informática es solo el medio para cometer el delito, de esta manera no hay delito que pueda quedar impune por no estar tipificado en nuestra legislación.
Actualmente en nuestro país existen delitos informáticos tipificados por la Ley 19.223 como ya lo señalamos, pero hay otros delitos que no son clasificados como tal, a pesar de que son realizados con tecnologías y gracias a las redes e Internet. Dicho escenario prontamente va a cambiar ya que como señalé anteriormente en el Congreso Nacional se está sometiendo a discusión una nueva ley actualizada que deroga esta antigua ley, lo que permitiría enfrentar los hechos delictuales efectuados en el ciberespacio, con herramientas jurídicas acordes al contexto nacional y mundial en materia de ciberseguridad y delitos informáticos y así actualizar nuestra ley con el Convenio sobre la Ciberdelincuencia del Consejo de Europa, conocido como el “Convenio de Budapest”.
Con esta nueva Ley se pretende, a grandes rasgos, tipificar los delitos informáticos actuales, así como también sus sanciones, atenuantes y agravantes, a través de mejoras procesales, entre las que destaca la legitimación del Ministerio del Interior y Seguridad de presentar querellas en caso de interrupción a servicios de utilidad pública por delitos informáticos y la incorporación de delitos de tipo sexual. Se fijan técnicas especiales de investigación y se establecen procedimientos específicos sobre manipulación de evidencia electrónica.
Asimismo, contiene definiciones acerca del sistema y los datos informáticos, del mismo modo en que lo hace el Convenio de Budapest que es un estándar utilizado en la Unión Europea y muchos otros países del mundo. Entre otras cosas, establece normas sobre preservación provisoria de datos informáticos e implanta un procedimiento estándar para la entrega de los datos e información recibidos o transmitidos por las empresas de telecomunicaciones o proveedores de acceso a Internet, sujetos a investigación.
Es imperativo que las organizaciones tomen conciencia de la necesidad de cumplir con estas normativas, que ciertamente están en pro de proteger la información sensible y así resguardar la privacidad de las personas. Además, no podemos no considerar que los delitos informáticos tipificados en este proyecto se agregan a la Ley 20.393, sobre responsabilidad penal de las personas jurídicas, es decir, si una organización no cumple con lo estipulado, las penas pueden derivar en encarcelamiento y no sólo en multas económicas de sus directivos y responsables.
En definitiva, la legislación chilena se encuentra sumamente atrasada en temas de ciberseguridad y en tribunales se asocia principalmente a delitos contra la propiedad que afectan a empresas. En la práctica la falta de legislación al respecto ha generado que los ciberdelitos se subsuman en los delitos comunes y se estime que sus formas de comisión son aquellas propias de las nuevas tecnologías. Esperamos poder contar prontamente con una legislación actualizada que ayude a la persecución de estos delitos.