El pasado 26 de octubre se llevó a cabo el Encuentro Internacional sobre Ciberfraudes, organizado por el OCEDIC y el Departamento de Derecho Penal de la Universidad Austral, en el cual, a través de tres paneles, destacados expertos de diferentes partes del mundo, abordaron los puntos principales y desafíos vinculados a la respuesta penal frente a este tipo de conductas, en especial, los aspectos dogmáticos, modalidades, técnicas de investigación, prevención y cooperación entre fuerzas policiales y sector privado. Daniela Dupuy (directora del OCEDIC) y Catalina Neme (subdirectora del OCEDIC) fueron las encargadas de presentar a los oradores y de guiar al público durante todo el evento.
Primer Panel : Aspectos dogmáticos
El discurso de apertura de la Dra. Daniela Dupuy dio lugar al primer panel, consagrado al tratamiento de la respuesta penal actual ante el ciberfraude, en el derecho argentino, español y comparado, con el fin de evidenciar las falencias de los tipos penales, así como las dificultades de su interpretación y aplicación ante situaciones novedosas o modos operatorios complejos. Se destacó la magnitud de esta problemática, más aún desde la pandemia de COVID-19, en la que los ciberdelincuentes encontraron un terreno fértil para propagarse, haciendo que el período 2020-2021, se transforme en uno de los más lucrativos para el cibercrimen, por lo menos, hasta el momento.
El primer panelista, Jaime Campaner Muñoz , profesor de la Universidad de las Islas Baleares (UIB), fundador de la firma Campaner Law, compartió su presentación titulada “Desentrañando el ciberfraude: de la estafa al blanqueo de capitales”, en la cual puso énfasis en el rol del eslabón más débil de estas operaciones, la “mula económica”, quien se presta para figurar como titular de la cuenta bancaria para transferir los fondos provenientes del ciberfraude, generalmente, a cambio de una baja comisión, para que los mismos lleguen al destinatario final, luego de haber camuflado los rastros. El disertante hizo un recorrido de los obstáculos para investigar, encontrar la calificación jurídica más adecuada a las circunstancias, probar el elemento subjetivo del tipo, llegado el caso, y condenar a los penalmente responsables, abordando así los aspectos fácticos y jurídicos en juego, sin olvidar la perspectiva de la víctima, que tiene como objetivo la recuperación de sus activos, ni la de los investigadores, que no deben perder de vista al estafador por ir detrás de la “mula”. El expositor dio además detalles sobre las medidas de investigación que utilizan en España para obtener la evidencia digital.
El segundo panelista, Eduardo Javier Riggi, Fiscal Coordinador de Cámara del Ministerio Público Fiscal de CABA, dedicó su tiempo de exposición a “La respuesta jurisprudencial frente a las lagunas de punibilidad”. Comenzó repasando la evolución de la legislación en Argentina desde la ley de delitos informáticos, para subrayar el desfasaje entre el aumento de la ciberdelincuencia (sobre todo desde la pandemia de COVID-19) y la velocidad de adopción de las normas para reprimirla. Hizo referencia a los problemas de suprainclusión e infrainclusión que pueden padecer las mismas. Dio ejemplos de expresiones, situaciones y modos operatorios que pueden no entrar en los tipos penales existentes en Argentina o, por lo menos, no exactamente en los que deberían, como ocurre con algunas estafas por medio de ingeniería social, a raíz de su redacción, conduciendo a los tribunales a realizar delicadas interpretaciones, muchas veces basadas en derecho español y alemán, para cubrir las lagunas.
El tercer panelista, Steven Kemp, investigador postdoctoral de la Universitat Pompeu Fabra de Barcelona, cerró el primer bloque disertando sobre “La cifra negra del ciberfraude: explicaciones, consecuencias y posibles remedios”. A través de distintos gráficos y estadísticas, dio a conocer el aumento de ciertos tipos de fraude en línea (romance scam, online shopping) a raíz del cambio de actividades sociales durante la pandemia. Destacó, sin embargo, la falta de datos, así como la baja tasa de denuncias, lo que trae como consecuencia el incremento de organizaciones criminales y el desconocimiento sobre sus modos operatorios. Por consiguiente, los recursos para luchar contra el cibercrimen no resultan eficaces y se hace más difícil encontrar una respuesta penal adaptada al fenómeno. Para terminar, compartió sus recomendaciones para “arrojar luz” sobre la cifra negra, basadas principalmente en la concientización de la sociedad, en facilitar los mecanismos de denuncia, realizar encuestas de victimización y mejorar la colaboración entre el sector público y privado.
Break activo n°1
La primera pausa fue la ocasión para:
- Invitar al público al evento “Fraudes con criptomonedas”, open class no arancelada a cargo de Cristian Borghello, que se realizará el viernes 5 de noviembre de 18 a 20 hs (Argentina). Informes e inscripción: https://www.austral.edu.ar/derecho/programas/open-class-fraudes-con-criptomonedas/?utm_source=Kit+de+difusi%C3%B3n&utm_medium=Piezas_RRSS+%2B+WA&utm_campaign=Open+class+%C2%ABFraudes+con+Criptomonedas%C2%BB
- Presentar oficialmente el newsletter del OCEDIC, al cual todos los interesados se pueden suscribir a través de la página web del Observatorio : https://ocedic.com/
Segundo panel : Modalidades delictivas del ciberfraude y sus formas de investigación
Este panel, liderado por Tomás Vaccarezza, Auxiliar Fiscal de la UFEDyCI del Ministerio Público Fiscal de CABA, se construyó para debatir sobre aspectos prácticos, a través de la mirada de fiscales de Argentina (nación, provincias y CABA) y la de un reconocido abogado que representa los intereses de las víctimas. El objetivo fue plantear la redefinición de las técnicas de investigación y de cooperación, optimizando recursos y esfuerzos, para obtener resultados de mejor calidad, sobre todo ante la gran cantidad de información diseminada que deben analizar para cada caso y frente a la evolución de las organizaciones criminales que llevan adelante estas conductas.
A la primera pregunta, sobre la aparición de nuevas modalidades de ciberfraudes, contestó Fernando Rivarola, Fiscal General Jefe de la Oficina Única del MPF de Rawson y de la Unidad Fiscal Especializada en Cibercrimen de Chubut, quien brindó un pantallazo de las maniobras utilizadas en los casos que están trabajando (suplantación de identidad por WhatsApp y por redes sociales para ofrecimiento de dólares o solicitud de auxilio económico; envío de falsos comprobantes de depósito; sim swapping; obtención de credenciales bancarias; empleados desleales; falsas empresas de venta de productos), así como el encuadre jurídico que han aplicado en cada uno de ellos. Recalcó este momento histórico, ideal para los estafadores, quienes aprovecharon la oportunidad para adaptar las estafas tradicionales al ciberespacio. Planteó, además, circunstancias que pueden contribuir a este fenómeno en Argentina, como la posibilidad de obtener líneas telefónicas no nominadas y la facilidad para abrir cuentas bancarias u obtener billeteras virtuales por suplantación de identidad. Se refirió también al impacto de los ciberfraudes dentro y fuera del país que trae aparejado conflictos de competencia y de unificación de causas.
A continuación, Franco Pilnik, Fiscal especializado en Ciberdelitos de la Provincia de Córdoba, respondió a la segunda pregunta, relativa a los mecanismos utilizados en su órbita para seguir la ruta del dinero y para su recuperación. Su exposición se focalizó en los ciberfraudes en los que se realizó una transferencia bancaria. Para comenzar, efectuó una descripción de los requisitos para abrir una cuenta y de la normativa aplicable en Argentina para las entidades financieras. Inmediatamente procedió a explicar una serie de tareas que resultan imperiosas, una vez la denuncia realizada, para identificar la cuenta de destino y su titular; “freezar” el dinero o bloquear la cuenta en cuestión; encontrar a la persona que operaba la cuenta de la víctima por home banking ; intentar restituir el dinero. Para cada una de ellas fue detallando: las opciones; las funciones del fiscal y del juez; las dificultades (que se incrementan cuando el hecho se produce un fin de semana o feriado); la interpretación de las normas; el problema de la atribución de competencia; la responsabilidad penal de las mulas y la manera de obtener una declaración por parte de ellas para dar con los autores. Subrayó la necesidad de mejorar la cooperación entre sector público y privado al igual que los canales de comunicación, de modernizar las reglas y los criterios de competencia para investigaciones más eficientes.
El tercer panelista, Horacio Azzolin, titular de la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI), compartió su opinión en cuanto al rol de las redes sociales en el marco de los ciberfraudes. En este sentido, coincidió con el aumento de los mismos, pero advirtió que se trata, en gran parte, de fraudes comunes sin ningún tipo de manipulación electrónica. Igualmente destacó los principales desafíos para los investigadores. En primer lugar, saber interpretar los códigos de las redes sociales y la dinámica de cada cuenta para distinguir los indicadores de aquellas que han sido montadas para un ciberfraude o bien usurpadas y reutilizadas con ese fin. En segundo lugar, la importancia de preservar toda la información para que esté disponible al momento del juicio. En tercer lugar, trabajar para lograr el take down de las cuentas y evitar consecuencias ulteriores al ciberdelito cometido. Por último, mejorar la cooperación entre fiscales e investigadores para crear casos significativos que sirvan para repensar las reglas de competencia frente a la interjurisdiccionalidad de estas conductas y fomentar la innovación del sector privado que facilite la tarea de obtención de evidencia.
Para terminar, Facundo Malaureille (abogado, Data Protection Officer – Francisco de Vittoria-Wolters Kluver, Data Governance VP en Wibson), cerró este bloque compartiendo con el público los aspectos vinculados con la asistencia a las víctimas de ciberfraudes. El disertante destacó el contexto argentino desde la crisis de 2001 a esta parte, que explica la pérdida de confianza de la sociedad hacia las entidades financieras. Entre los obstáculos a superar para recuperar dicha confianza, menciona la falta de: canales de comunicación accesibles y disponibles cuando el usuario necesita hacer el reclamo correspondiente ; empatía hacia los clientes ya que terminan sintiéndose culpables por haber sido víctimas de una estafa ; infraestructura, como puede ser el hecho de colocar cámaras en todos los cajeros. Estas falencias se hicieron aún más visibles durante la pandemia y en los procesos de transformación digital, llevando al orador a afirmar que los bancos “no estuvieron a la altura de las circunstancias”. Asimismo, reclamó la atención de los legisladores para que respondan a las necesidades de las cibervíctimas, por ejemplo, de suplantación de identidad. Subrayó también la utilidad de aplicar normativa ya existente pero que hoy no es tenida suficientemente en cuenta, en especial, en materia de defensa del consumidor y protección de datos personales. Para concluir su presentación, el expositor confesó su preocupación con respecto a lo que pueda suceder con los datos de los argentinos, luego del incidente del RENAPER, cuya magnitud aún desconocemos.
Break activo n°2
Durante la segunda pausa, Natalia Molina, Jueza PCyF de CABA y staff de OCEDIC, presentó el Digital Project 2022, invitando al público a sumarse a esta propuesta que va a liderar y de la que tendremos más información muy pronto.
Tercer panel : sector privado y fuerzas policiales
El último bloque estuvo dedicado a estos dos sectores que son fundamentales tanto para prevenir como para afrontar las modalidades de ciberfraude hasta aquí analizadas.
Juan Manuel Sarrabayrouse, abogado (Estudio de los Dres. Roca & Sarrabayrouse) y asesor corporativo financiero en materia penal, inauguró el tercer panel disertando sobre ciberfraudes en el sistema financiero y la prevención de los mismos. Procedió a analizar el ecosistema del ciberdelito patrimonial, actores y componentes. Hizo hincapié en la respuesta organizacional, dentro de la cual, la gestión del riesgo ocuparía un rol central. Fomentando el estándar de proporcionalidad y razonabilidad a la hora de adoptar medidas de seguridad y, en función del mapeo de los riesgos de cada organización y de su envergadura, el expositor compartió elementos clave de una estrategia de ciberseguridad para prevenir, responder y recuperarse de este tipo de ataques. Mencionó las medidas para proteger a los clientes, de acuerdo con los principales modos operatorios (basados en ingeniería social), que consisten fundamentalmente en: credenciales; concientización; segundo factor de autenticación ; varias formas de monitoreo y take down; canales de denuncia para clientes ; comunicación con las fuerzas. Destacó, no obstante, la importancia de tratar de mantener la fluidez de las transacciones, cuando el riesgo es tolerable, para encontrar un equilibrio con la seguridad y no entorpecer la vida cotidiana de los actores financieros y clientes.
Mariana Truglia, representando al área de prevención y control de fraudes de Movistar, aportó detalles sobre el fenómeno de sim swapping. Brindó las principales definiciones, explicó las etapas, sus modalidades y medidas preventivas. En consecuencia, el público pudo conocer la diferencia, por ejemplo, entre duplicar una tarjeta sim o no, alterar un segundo factor de autenticación o no. En cuanto a las etapas, mencionó el robo de información de la víctima, seguido de la transacción sobre la línea, antes de concretar el fraude. Por cada una de estas fases, describió las variantes que fueron identificando desde la empresa y las recomendaciones para prevenirlas. Para terminar, compartió sus conclusiones, basadas en: la importancia de un manejo responsable de datos; la implementación de sistemas robustos de validación de identidad e implementación eficaz del 2FA; protocolos rápidos de reacción para las empresas de telecomunicación y bancos ; canales de denuncia y comunicación que ayuden a identificar la causa del fraude; mayor coordinación entre todos los actores del ecosistema.
Cristian Patti, Gerente de Seguridad Informática y Prevención de Fraude de Red Link Argentina, analizó los cambios de conducta de los consumidores desde el inicio de la pandemia explotados por los ciberestafadores, provocando el cambio en las maniobras delictivas. Por ejemplo, el aumento de las transacciones en sitios de comercio electrónico o el uso de home banking, en detrimento de operaciones en comercios y en el extranjero. Recalcó la diferencia entre los fraudes, donde no hay necesariamente participación del usuario, y las estafas por ingeniería social, en las que el titular del medio de pago termina siendo “partícipe necesario” del ataque. Destacó también el rol del CSIRT de la red en la gestión de desactivación de perfiles falsos. El orador prosiguió su exposición repasando las políticas y medidas que fueron implementando, vinculadas con : la detección de estafas por ingeniería social; nuevos esquemas de monitoreo y confrontación de usuarios en operaciones sospechosas; protocolos de validación; trabajo con la justicia y las fuerzas; tecnologías de identificación biométrica ; convenios de cooperación con el sector público y privado; campañas de concientización. No obstante, entre las dificultades principales en la lucha contra el ciberfraude, subrayó el tiempo que pueden tardar empresas como Facebook o Instagram para dar de baja los perfiles falsos detectados y las páginas alojadas en países remotos (complejidades que exceden al organismo). Para finalizar dio su opinión sobre la importancia de la certeza de la pena a la hora de una condena y del nivel de reincidencia actual.
Enrique Aldo Viegas Da Luz, Coordinador de Investigaciones Complejas Financieras de la Policía de la Ciudad, cerró el último bloque dando su punto de vista y agregando, entre los desafíos para los investigadores, el poder identificar el perfil del “hacker mental”, un estafador particular, distinto del ciberdelincuente típico, que vulnera la “parte buena” de las personas, que muestra una evolución en cuanto a su forma de pensar y de actuar pero también en su educación, revelando su adaptación, por ejemplo, frente a las parametrizaciones que realizan los bancos en materia de prevención de fraudes, y obligando a las fuerzas a replantear sus métodos de investigación. Asimismo, señaló la presencia significativa de fraude interno, que puede resultar aún más perjudicial que otras modalidades, y compartió los factores de la pirámide que sirven para entender mejor a sus autores (oportunidad, racionalización, motivación). A pesar de ello, resaltó las dificultades que surgieron con la pandemia para su detección, en particular el home office. Al finalizar, el expositor ilustró sus dichos con noticias de casos reales, ayudando al público a visualizar el impacto de los mismos.
Luego de casi cuatro horas de análisis sobre las distintas aristas de los ciberfraudes, Daniela Dupuy tomó la palabra para poner fin al evento, invitando al público a anotarse en la diplomatura internacional en ciberdelincuencia y tecnologías aplicadas a la investigación, cuyo inicio está previsto en 2022 y proponiendo que, cada uno desde su lugar, se anime a aportar su grano de arena y a trabajar en equipo, para que este fenómeno sea menos nocivo para la sociedad.
Denise GROSS