Con la llegada de Internet, las grandes redes de telecomunicaciones y la información digital, las fronteras entre naciones se han difuminado. Así como consumimos servicios alojados en otros países, guardamos nuestra información en “la nube” o enviamos información que viaja a través de redes internacionales, cuando se trata de un delito informático (o incluso evidencia digital) la investigación generalmente trasciende el territorio de una nación. Esto resulta un tanto complejo a nivel legislativo, especialmente si las leyes de los países involucrados no están alineadas.
Supongamos que se comete un fraude a través de una página de pagos online: la víctima hizo una compra desde Chile, a través de un portal hosteado en Mexico, pero aquel que la engañó para hacer ese pago se encuentra en España. Además, tanto la víctima como el estafador mantuvieron varias conversaciones por un servicio de chat, el cual pertenece a una empresa norteamericana. La víctima realiza la denuncia por fraude en Chile por un delito que está tipificado, pero el delito en sí se cometió desde España y la evidencia está dividida entre México y Estados Unidos. ¿Quién se hace cargo entonces? ¿Bajo qué leyes se debería juzgar el caso y tratar la evidencia?
Este tipo de casos es cada vez más habitual, por lo que se vuelve imprescindible la cooperación internacional.
Con el objetivo de establecer una política penal común y armonizar la cooperación internacional, en 2001 el Comité de Ministros del Consejo de Europa sancionó el Convenio de Budapest. Al día de hoy se han adherido al convenio más de 56 países de todo el mundo, incluyendo Chile, Costa Rica, República Dominicana, Panamá y recientemente Argentina, en lo que refiere a Latinoamérica. Mientras que Paraguay, México, Colombia y Perú han sido invitados a firmar el acuerdo y están próximos a concretar la adhesión.
¿Qué establece el Convenio de Budapest?
El convenio tiene cuatro capítulos, en los que además de definirse una serie de terminologías en común, se establecen tres ejes esenciales para hacer frente a los delitos informáticos:
En el primer eje se aborda el tema de los delitos informáticos, y tiene como objetivo establecer un catálogo de figuras dedicadas a penar las modalidades de criminalidad informática. Es decir, en este capítulo se definen los delitos y se los clasifica en 4 categorías:
- Delitos que tienen a la tecnología como fin: son aquellos que atentan contra la confidencialidad, integridad o disponibilidad de la información. Por ejemplo, el daño informático, el acceso ilícito a un sistema, etc.
- Delitos que tienen a la tecnología como medio: se refiere a delitos ya conocidos, que se cometen a través de un sistema informático. Son delitos comunes, que ya se encuentran tipificados en la mayoría de las legislaciones, ampliados a los medios digitales. Por ejemplo, el fraude informático o la falsificación de datos digitales.
- Delitos relacionados con el contenido: establece como delitos diversos aspectos de la producción, posesión y distribución electrónica de pornografía infantil.
- Delitos relacionados con infracciones a la propiedad intelectual: se refiere a la reproducción y difusión en Internet de contenido protegido por derechos de autor, sin la debida autorización. Por ejemplo: infracciones a la propiedad intelectual, piratería, etc.
En el segundo eje se abarcan las normas procesales: aquí se establecen los procedimientos para salvaguardar la evidencia digital, así como también las herramientas relacionadas con la manipulación de esta evidencia. El alcance de esta sección va más allá de los delitos definidos en el punto anterior, ya que aplica a cualquier delito cometido por un medio informático o cualquier tipo de evidencia en formato electrónico. Entre otras cosas determina la obtención y conservación de datos digitales para ser utilizados como pruebas.
El último eje contiene las normas de cooperación internacional, que son reglas de cooperación para investigar cualquier delito que involucre evidencia digital, ya sean delitos tradicionales o informáticos. Incluye, entre otras, disposiciones acerca de la localización de sospechosos, recolección o envío de evidencia digital, e incluso lo referente a extradición.
La evidencia digital es volátil e intangible, es decir, puede desaparecer o ser alterada muy rápido, por lo que las investigaciones que involucran este tipo de pruebas deben ser rápidas y precisas. Para esto, se requiere un proceso penal ágil y eficiente, con esfuerzo organizado por parte de los países. En este capítulo se establece la red 24x7, un punto de contacto que debe funcionar las 24 horas, los 7 días a la semana y asegurar una rápida asistencia entre las partes.
De esta manera, y según se define en el preámbulo del convenio, la armonización en ciberdelincuencia se logra tipificando conductas de delitos informáticos similares en todos los países, unificando normas procesales de cualquier delito que tengan evidencia digital y a través de una cooperación internacional, similar y armónica en todos los países.
Tal como les comentábamos al comienzo, recientemente (el pasado 23 de noviembre) la República Argentina ha finalizado su adhesión al convenio de Budapest, al que fue invitada a formar parte, luego de más de un año de haber ingresado el proyecto al poder legislativo.
Entre los deberes que debe realizar el país una vez adherido al convenio, se destacan por un lado, la designación de un punto de contacto para la red 24x7 (según define el artículo 35 del convenio) con el fin de proveer apoyo y cooperación de forma rápida y efectiva, y por el otro lado, un proceso de adecuación de normas y legislación al convenio de Budapest. Si bien la Argentina se encuentra avanzada en materia de legislación de delitos informáticos y preservación de evidencia digital, aún quedan normas por implementar y procesos por adecuar y mejorar.
La adhesión al convenio es un gran paso en materia de investigación de delitos informáticos, ya que aportará herramientas y procedimientos para seguir luchando contra el cibercrimen. Desde ESET celebramos esta noticia y seguiremos trabajando en la concientización y prevención de delitos y amenazas informáticas.
Créditos Imagen: © geralt/pixabay.com