Desde que las billeteras se transformaron en electrónicas, desde que dinero y datos comenzaron a intercambiarse a través de Internet y desde que WhatsApp y otras redes sociales pasaron a ser uno de los canales más frecuentes de conversación, los delincuentes también migraron hacia la virtualidad sus actividades ilegales. Cometen estafas, robos de identidad y de datos personales, ciberespionaje y hasta ataques a gran escala en los que organizaciones criminales secuestran información de empresas o de los Estados que luego les sirve para extorsionar o vender.
El ciberdelito es definido por la Organización de las Naciones Unidas como aquel que se comete usando las tecnologías de la información y la comunicación para “atacar las redes, sistemas, datos, sitios web y la tecnología” y se diferencia de los delitos tradicionales en que “no tiene barreras físicas o geográficas”, lo que dificulta su persecución.
Para hacer frente a esa realidad, después de cuatro años de discusión parlamentaria, la Cámara de Senadores aprobó el miércoles 14 de agosto un marco normativo específico que incluye la tipificación de varios ciberdelitos.
“Uruguay necesitaba esta ley. Es un instrumento que le da herramientas al sistema legal y punitivo para perseguir delincuentes que se mueven en medios electrónicos”, dijo a Búsqueda el director general de la Presidencia de la República y director ejecutivo de la Agesic (Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento), Hebert Paguas.
Por su parte, el representante regional del Centro de Competencia en Ciberseguridad y Ciberdelito, ubicado en República Dominicana y financiado por la Unión Europea, César Moliné, aseguró que es un “paso esencial” que “fomenta una mejor cooperación internacional en materia penal” —algo clave para enfrentar a la ciberdelincuencia— y permite al país estar “alineados con las mejores prácticas internacionales”, especialmente con el Convenio de Budapest.
El Convenio de Budapest es el primer tratado internacional sobre delitos cibernéticos. Fue firmado en 2001 y forman parte de él más de 75 Estados. La aprobación de una ley de “adecuación jurídica” era el principal requisito pendiente para que Uruguay pueda integrarse, por lo que ahora el gobierno buscará avanzar en la solicitud de adhesión, según confirmaron a Búsqueda fuentes del Poder Ejecutivo.
Entre los beneficios, contiene una “colaboración más estrecha” con otros países para investigar los ciberdelitos. Esto incluye el intercambio de información y la asistencia jurídica mutua, así como el acceso a instancias de capacitación y apoyo técnico proporcionado por el Consejo de Europa e Interpol, y recibir alertas tempranas sobre nuevas amenazas que puedan surgir, destacó Moliné.
Acoso, fraude y daño informático
El primer artículo de la ley recientemente aprobada incorpora el acoso telemático al Código Penal. Por este delito será condenada toda persona que mediante la utilización de medios digitales “vigile, persiga o procure cercanía física, estableciendo o intentando establecer contacto con una persona”, de forma directa o a través de otras personas, “de tal modo que altere gravemente el desarrollo de su vida”. La pena será de tres meses de prisión a tres años de penitenciaría.
Otro de los delitos creado es el fraude informático, que abarca tres situaciones: a quien mediante engaños haga que otra persona se equivoque, para obtener información usando tecnologías de la información y la comunicación, con el propósito de obtener un beneficio injusto; la manipulación de sistemas informáticos para realizar operaciones financieras, como pueden ser transferencias o pagos sin autorización, perjudicando a otra persona; y el uso de cualquier tipo de tarjeta, cheque, código u otro medio de pago, para realizar transferencias, pagos u otras operaciones no autorizadas, con la intención de obtener un beneficio.
Este delito tiene como agravante que el daño informático sea contra el Estado y fue incorporado como una de las actividades precedentes del lavado de activos. Al igual que la estafa tradicional, será castigado con una pena de seis meses de prisión a cuatro años de penitenciaría.
Por otro lado, fue creado el delito de daño informático para quien sin autorización destruya, altere o inutilice datos o sistemas informáticos con la intención de causar daño y será castigado con una pena de seis a 24 meses de prisión. Será un agravante que el daño causado sea irreparable o se produzca contra documentos electrónicos o sistemas informáticos del Estado o relacionados con infraestructuras críticas.
El delito de acceso ilícito a datos informáticos permitirá condenar a quien “acceda, interfiera, difunda, venda o entregue información ajena almacenada en formato digital, sin autorización y sin una justificación válida”. En ese caso la pena será la misma que para el daño informático, al igual que para la interceptación ilícita y la vulneración de datos, otros dos de los delitos creados. El primero hace referencia a quien, “sin autorización y sin una razón válida, intercepte, interrumpa o interfiera con datos informáticos que se transmitan de forma no pública hacia, desde, o dentro de un sistema informático”. El segundo refiere a quien acceda, se apropie, use o modifique datos confidenciales de terceros, registrados en soportes digitales u otros archivos o registros, sean públicos o privados, sin autorización.
Según datos publicados en la página web del Centro Nacional de Respuesta a Incidentes de Seguridad Informática (Certuy), en el primer semestre de 2024 se detectaron y se respondieron 4.772 incidentes, de los cuales el 1% se clasificaron con severidad “Alta” o “Muy alta”. En comparación con en el mismo período de 2023 hubo un aumento de 122%.
Suplantación de identidad y abuso de dispositivos
Con la aprobación de la legislación, que fue presentada por el diputado de Cabildo Abierto Sebastián Cal en 2021, la suplantación de identidad fue tipificada como otro de los nuevos ciberdelitos. El grooming, por ejemplo, ya existía en la legislación.
La suplantación es el nombre que recibe la conducta de hacerse pasar por otra persona o entidad, ya sea usurpando, adoptando, creando o apropiándose de su identidad, a través de cualquier herramienta tecnológica, con la intención de causar daño al verdadero titular. Por ejemplo, obteniendo datos o accediendo a redes sociales, correos electrónicos, cuentas bancarias, medios de pago o plataformas digitales. La legislación aclara que “no constituirá suplantación de identidad la creación de nuevos perfiles destinados exclusivamente a la parodia”.
Son circunstancias agravantes especiales que este delito se cometa con la intención de divulgar la información obtenida; que se modifiquen, eliminen o alteren los datos de la víctima o se utilicen sus credenciales para interactuar con otras personas o entidades. También que se adquieran productos o servicios en nombre de la víctima, se suplante la identidad de un organismo estatal o se acompañe la suplantación con una extorsión.
El delito de abuso de dispositivos busca castigar a quien de manera ilegal produzca, adquiera, importe, comercialice o facilite a terceros programas, sistemas informáticos, credenciales o contraseñas de acceso con el fin de cometer un delito. De constatarse, será castigado con una pena de seis a 24 meses de prisión.
Campaña educativa
En la exposición de motivos, el proyecto que se transformó en ley plantea que “el rápido avance” de la ciberdelincuencia en Uruguay puso de manifiesto varias “vulnerabilidades” del sistema uruguayo, en relación con la carencia de una regulación específica —una situación que cambió con la aprobación de la iniciativa— hasta una falta “de educación” sobre la seguridad informática para “mitigar el accionar” de los delincuentes.
En ese marco, la Cámara Alta encomendó al Poder Ejecutivo la responsabilidad de promover una campaña nacional educativa sobre el manejo de las finanzas personales y ciberseguridad en secundaria y UTU y dirigida a los beneficiarios de prestaciones del BPS, Ceibal y programas del Instituto Nacional de Empleo y Formación Profesional (Inefop). En dicha campaña deberán desarrollarse ciertos conceptos —que deberán “revisarse y actualizarse periódicamente acompasando los avances tecnológicos”— relacionados con los diferentes medios de pagos y su funcionamiento, las cuentas bancarias, el acceso a préstamos y a las instituciones financieras, la planificación presupuestaria y los riesgos del uso inadecuado de canales digitales. También deberá informarse sobre los fraudes o las estafas por medios digitales y sobre buenas prácticas para evitarlos.