Crime Intelligence: la nueva fisonomía del delito en Internet

internetPablo García Mexía

Una extraordinaria jornada dedicada a la ciberseguridad congregaba el 11 de febrero de 2014 en Madrid a destacados especialistas de empresas y de las fuerzas de seguridad.

Una ponencia de particular relieve fue la de uno de los representantes de la entidad organizadora, IDC, el analista Antonio Flores. Su intervención estaba anclada en tres grandes ideas:

La primera, de raíz tecnológica, era la constatación de que el actual entorno digital, merced a desarrollos como las tecnologías Big data, el cloud computing, la Internet de las cosas, la movilidad y el social business entraña un nuevo caldo de cultivo con mayores oportunidades para el ciberataque.

crime intelligence

Fuente: Antonio Luis Flores, de IDC.

La segunda, ya centrada en la ciberseguridad, y más concretamente en el ciberdelito, es la de que el software malicioso, se está modelando a medida de sus destinatarios, es decir, de sus víctimas; admítase la expresión, muy “del sector”: el malware se estaría “customizando”, gracias a que los ataques están cada vez más dirigidos a víctimas determinadas: en una palabra, el ciberataque, merced a la propia digitalización, se está haciendo cada vez más inteligente.

La tercera idea es la propuesta de solución a tan delicada situación, que para Flores exige todo un cambio de paradigma: en su opinión, “seguir haciendo lo mismo, pero un poco más”, no es ya suficiente. Se hace necesario rediseñar por completo las estrategias de ciberseguridad, ante el abismo creciente entre la mayor inteligencia de las amenazas y los presupuestos a ello dedicados. Concretamente, y del mismo modo que ese nuevo escenario tecnológico ofrece un nuevo caldo de cultivo al cibercrimen, también ofrece nuevas herramientas a quienes han de enfrentarse a él, de la mano de estrategias holísticas: seguridad gestionada, que emplee las tecnologías Big data, se implemente en la nube y, como la misma Internet, opere “end-to-end”, es decir, de extremo a extremo, de manera que todos y cada uno de los elementos conectados puedan sentir sus efectos.

Si bien mencionó de soslayo la necesidad de que la regulación legal se adapte también a  este nuevo contexto, el analista de IDC no tuvo ocasión de pormenorizarlo en su alocución. Ello me llevó a preguntarle cómo veía él la actual situación del marco legal sobre ciberseguridad, así como las líneas de adaptación que en su caso debieran seguirse.

A juicio de Antonio Flores, y cito textualmente, “la principal preocupación en materia de regulación relacionada con la ciberseguridad es su incapacidad para abarcar toda la casuística.” Los factores tecnológicos mencionados, al estar “creciendo y evolucionando a un ritmo mucho mayor al de cualquier otro fenómeno o proceso conocido”, provocan que la regulación ni ahora ni en el futuro “pueda dar las garantías a las que estamos acostumbrados de la forma en la que estamos acostumbrados.” Por lo tanto, y también en materia regulatoria, es necesario ese “cambio de paradigma”, que lleve “a los gobiernos a investigar y descubrir progresivamente la mejor manera de garantizar un marco jurídico suficiente y eficaz, que sea compatible con la esencia de los nuevos productos y servicios tecnológicos.”

Quizá algo imprudentemente, le comenté a Flores que este punto de vista me parecía todo un reto. Y, aun a sabiendas de que no es evidentemente nada sencillo, me propongo en estas páginas al menos comenzar a reflexionar al respecto.

Una idea de partida: como hace ya algún tiempo subrayara el gran jurista alemán Esser, “la ley es más inteligente que el legislador”. Me explico: ese problema que el exceso de casuística plantea para la ciberseguridad y para la lucha contra el cibercrimen es, podríamos decir, endémico para el Derecho, por más que, ciertamente, el actual entorno digital lo acentúe al extremo. Y lo que es más, resulta uno de sus problemas capitales, hasta el punto de residir aquí el eje de distinción entre los dos grandes sistemas jurídicos occidentales, el civil-continental y el anglosajón del “Common law”: aquél se enfrenta a los conflictos tratando de aglutinar en pormenorizados “cajones” regulatorios la mayor parte de supuestos posibles; mientras que este otro, más práctico como sabemos, y también más cauto ante el casuismo, prefiere basarse en supuestos normativos previos de mucha mayor generalidad, que posteriormente son concretados por los tribunales, los cuales gozan de un margen de apreciación por lo general muy superior al del juez civil-continental.

Pues bien, parece que el actual entorno digital favorece más el enfoque más pragmático del “Common law”, de leyes más abiertas, que dejen mayor margen de maniobra a la interpretación que ante el caso por caso pueda hacer un juez. Verdad es que, en materia penal, como es la que aquí se ve fundamentalmente afectada, el legislador ha de ser especialmente cuidadoso, pues en ella rige escrupulosamente el principio de legalidad, de manera que solo puede castigarse aquella conducta que expresamente se prevea de antemano como reprochable y como conducente a tal castigo (“nullum crimen, nulla poena sine lege”): y una de las consecuencias primordiales de esta escrupulosa vigencia de la legalidad penal es desde luego la prohibición de la analogía en estos campos, lo que por ejemplo habría impedido en su momento castigar como autor de un delito de phishing a un estafador, con anterioridad a que las oportunas reformas penales hubieran previsto que Internet es justamente un medio de comisión de este tipo de estafas.

Pese a esto último, parece que el entorno digital marcado por este “nuevo caldo de cultivo” favorece, incluso en materia penal, leyes algo más amplias en su formulación, que puedan interpretarse en mayor detalle por los tribunales en el caso por caso y que, gracias a ello, puedan responder con agilidad y eficacia superiores a los actuales desafíos del ciberdelito.

Soy consciente de que toda relectura del principio de legalidad penal debe afrontarse con extrema cautela, siendo éste uno de los grandes logros de la libertad y la seguridad personales frente al poder punitivo del Estado. Tampoco se me oculta que tal relectura, al hilo de los asuntos aquí comentados, podría incluso conllevar problemas de constitucionalidad, a la hora de ponderar su encaje, entre otros, con el propio principio de sujeción a la ley previsto en el artículo 9.1 de nuestra Carta Magna.

Aun cuando es probable que los bienes en juego, es decir la seguridad en Internet, y lo que es peor, los derechos y libertades que hoy en día y cada vez más se juegan en la Red su misma razón de ser, nos deban invitar siquiera a meditar acerca de la posibilidad de dar ese paso. Máxime cuando, al fin y al cabo, es siempre un juez, el garante nato de la libertad personal, quien en último extremo decide acerca de la incriminación o no de un determinado sujeto.

Por otro lado, ese cambio de paradigma al que alude Flores le lleva a la postre a aplicar en favor de la ciberseguridad las mismas herramientas que el ciberdelincuente contemporáneo comienza crecientemente a incorporar a sus crímenes. Lo que a mí me induce a hacer lo propio respecto de los mecanismos regulatorios, de tal modo que lo que quizá deban hacer los gobiernos sea igualmente emplear en favor de una mejor regulación del ciberdelito esas poderosas herramientas del actual entorno digital, en aras a adaptarse darwinianamente al mismo.

En concreto, instrumentos como el social business y la movilidad son fácilmente orientables hacia principios y técnicas de gobierno abierto, que recaben mayores dosis de participación y de colaboración ciudadana a la hora de obtener información que sirva en la persecución de este tipo de prácticas. Asimismo, la enorme capilaridad de las actuales TICs (“end-to-end”) favorece, en especial si se cuenta con la colaboración de los ciudadanos, muchas veces las víctimas de este tipo de conductas, la determinación de sus características y singularidades, que a su vez pueden resultar muy valiosas para constatar su tipificación legal y, sobre todo, para configurar su posible evolución futura.

El cloud computing, gracias a las facilidades que en general brinda para el almacenamiento y el intercambio de información, puede a su vez ayudar a promover dichos almacenamiento e intercambio entre los gobiernos. Cierto que éstos pueden usar dicha información de forma abusiva, como las actividades de espionaje de la norteamericana NSA demuestran: en este caso, además, se contaba como es sabido con la imprescindible cooperación de nubes privadas, para ser más exactos, de las mayores nubes privadas del mundo. Aunque también que, bien empleada, en aras a una regulación más adecuada del ciberdelito, pero con respeto a los derechos y libertades, esa información almacenada en cloud puede indiscutiblemente llegar a constituir un elemento muy valioso para la seguridad general.

Finalmente, las tecnologías Big data deben consolidarse cuanto antes como factor de necesario uso por parte de los gobiernos: la idea no es nueva en absoluto, no solo porque lleve ya tiempo hablándose de Business intelligence for governments de forma paralela a como se hace a propósito de la llamada Inteligencia de negocio o empresarial. También porque cada vez más proyectos y servicios públicos las vienen empleando. La idea es que las autoridades competentes sean más conscientes si cabe de que el Big data puede ser un aliado clave para combatir el cibercrimen.

A fin de cuentas, solo un gobierno y una regulación legal que empleen en aún mayor medida las actuales tecnologías de inteligencia social, serán capaces de combatir eficazmente el ciberdelito, el cual, y por desgracia, gana cada día en sofisticación y en esa misma inteligencia social.

Sin duda que esta conclusión y las ideas anteriores están lejos de encarnar por sí solas el “cambio de paradigma” regulatorio que pensadores como Flores demandan. Aunque puede que sean un paso para terminar lográndolo algún día.

(Tomado del blog La Ley en la Red perteneciente a ABC)

Anuncios

Un pensamiento en “Crime Intelligence: la nueva fisonomía del delito en Internet”

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s