El área de Derecho de la Facultad de Ciencias Sociales de la Universidad Nebrija organizó las Jornadas Nebrija de Tecnología y Seguridad digital de la República Dominicana. En tres sesiones, los expertos europeos y centroamericanos desvelaron herramientas policiales, de inteligencia artificial y legislativas en la lucha contra el cibercrimen y en defensa de los ciudadanos.
En el primer día de trabajo, Juan María Cabo, inspector Jefe del Grupo de Ciberataques de la Policía Nacional, consideró que esta materia, “de rabiosa actualidad”, exige “implicar a la sociedad en la protección porque los riesgos cada vez van a más”. Ante un 95 % de hogares españoles con acceso a internet (2019) y el aumento del trabajo en remoto, la incidencia de sufrir un ciberataque ha aumentado exponencialmente. La prevención y la “fortaleza” de la cooperación de agencias de policía y judiciales como Europol (a través de EC3, Centro Europeo de Cibercriminalidad) y Eurojust (Agencia de la Unión Europea para la Cooperación Judicial Penal) son, en su opinión, dos de las medidas básicas para contrarrestar la ciberdelincuencia,
Las estafas en el comercio electrónico; los falsos préstamos, alquileres y ofertas de empleo; el SIM Swapping, la suplantación de identidad gracias al duplicado de la tarjeta SIM de un teléfono; el carding, el acceso a la información de tarjetas bancarias; o los delitos contra los menores fueron algunos de los delitos apuntados por el inspector policial, que dejó la referencia del Foro CSIRT.es, una plataforma independiente, de confianza y sin ánimo de lucro que se erige como “el primer recurso” para las empresas públicas y privadas que han sufrido un ciberataque.
Asimismo, Juan María Cabo explicó diversos conceptos sobre el malware, “las aplicaciones maliciosas que se instalan en el sistema informático de la víctima sin el consentimiento de esta, donde posteriormente desplegarán diversos efectos perniciosos”. Entre los tipos de malware se encuentran el ransomware (chantaje a la víctima), spyware (roba sus datos), adware (le muestra publicidad “sin parar”), gusanos (se propagan entre equipos), troyanos (introducen el malware en su PC) o redes de robots (convierten su PC en un zombi).
Malware como servicio
Sin embargo, los ciberdelincuentes “han dado un paso más” ofreciendo malware como servicio o MaaS (Malware as a Service). “En esta forma de explotación los cibercriminales crean un kit malicioso compacto capaz de lanzar un ataque con distintos tipos de malware. Este kit lo venden o alquilan a los interesados bajo un programa de afiliación a otros cibercriminales que tienen la intención de lanzar un ataque. Además del software les proporcionan conocimientos técnicos e información paso a paso. A veces, cuando el ataque tiene éxito, el dinero del ataque se divide entre el proveedor de servicios, el programador y el atacante. Por ejemplo, el creador de un kit de ransomware puede recolectar el rescate, proporcionar la herramienta de descifrado a las víctimas que pagan y paga el 70 % de los ingresos a través de Bitcoin al operador”, precisó.
Tras apuntar que los métodos de investigación de estos delitos van más allá del registro remoto telemático y de los análisis in situ para afianzar el trabajo de los agentes informáticos encubiertos, Juan María Bravo dio paso a su colega Claudio Peguero, inspector de Policía Nacional y delegado dominicano ante el Comité del Convenio de Budapest sobre Ciberdelincuencia.
En la República Dominicana, ante el crecimiento de estafas vía Whatsapp y las vinculadas a la covid-19 sobre las vacunas y las mascarillas, Peguero incidió en la importancia de las campañas “de alerta de comunicación que combaten la desinformación”, que desde 2018 forma parte de la estrategia nacional en ciberseguridad junto a la formación de profesionales.
“Nuestra historia se remonta a 2003 cuando tuvimos el primer caso etiquetado como ciberdelito… la víctima fue el presidente de la República y empezamos a trabajar”. Junto a algún apunte normativo, el inspector jefe dominicano recordó que su país ratificó el 7 de febrero de 2013 el Convenio de Budapest –que plantea una política penal común contra el cibercrimen- al comprobar que resulta “difícil encontrarse con un caso que afecte a una sola jurisdicción”.
La clave de la inteligencia
La jornada moderada por Jordi Regí, coordinador del Máster Universitario en Ciberdelincuencia de la Universidad Nebrija dio paso a la mesa redonda ideada por Adrián Nicolás Marchal González, director del Máster en Análisis de Inteligencia y Ciberinteligencia, que reunió a Eugenia Hernández Sánchez, directora de la Unidad de Análisis de Inteligencia (UNINT) y profesora de la Universidad Nebrija, y Carlos L. Leonardo, director del Equipo Nacional de Respuesta a Incidentes Cibernéticos CSIRT-RD (Centro Nacional de Ciberseguridad).
Hernández Sánchez desgranó la relevancia de la inteligencia para los estados, empresas y organizaciones en la lucha contra el cibercrimen. Elaborar y tener información para la toma de decisiones, entender el contexto y dominar las narrativas en la elaboración de los informes son condiciones en las que, a su juicio, se asienta la función de la inteligencia. “No se trata de sacar una bola de cristal para adivinar el futuro”, advirtió.
Antes de recomendar series como Pine Gap, la directora de UNINT enumeró las fases de la inteligencia para esclarecer este tipo de delitos: dirección, obtención –recopilación de información de diferente naturaleza: HUMINT (inteligencia humana), GEOINT (inteligencia geoespacial), IMINT, (inteligencia de imágenes), OSINT (inteligencia de fuentes abiertas) o SOCMINT (inteligencia de las redes sociales)-, elaboración de documentos y difusión.
El Centro Nacional de Ciberseguridad (CNCS) de la República Dominicana es, según su propia definición, una entidad dedicada al desarrollo de la ciberseguridad, al fortalecimiento de la confianza digital del usuario dominicano y a la protección de la infraestructura crítica y tecnológica del Estado dominicano. En el CNCS se integra el CSIRT-RD, el equipo que da respuesta a incidentes cibernéticos al mismo tiempo que asesora y difundie información de valor para incrementar la seguridad cibernética. Su director, Carlos L. Leonardo, defendió en las jornadas que la República Dominicana presenta “mayor resiliencia” institucional: “De apagar fuegos hemos pasado a un nivel de madurez, a adoptar medidas preventivas y usar la inteligencia para ir un paso por delante de estas amenazas”. Por lo tanto, la inteligencia combinada con el poder de acción “da el mejor de los resultados”. La mezcla de la calidad de la información con el tiempo máximo de la decisión y la puesta en escena del nivel estratégico, operacional y táctico de cualquier respuesta ante este tipo de delitos fueron otros de los aspectos que subrayó Leonardo.
“Aunque se empleen recursos informáticos, el componente humano es el factor clave, el único que aporta el análisis y la interpretación”, señaló el experto dominicano, que terminó su intervención con una cita del escritor Ramón J. Sender, que puede aplicarse a la actitud ante los ciberdelitos: “La conciencia del peligro es ya la mitad de la seguridad”.
Contexto de leyes
La última sesión moderada por el profesor Luis A. García Segura, director del Máster Universitario en Protección de Datos y Seguridad junto a Daniel López Carballo, estuvo precedida por la premisa del propio Daniel López Carballo, socio de Écija Abogados: “No debemos olvidar que el núcleo fundamental de las normativas de la protección de datos es la protección de las propias personas”.
Pascal Peña-Pérez, abogado experto en protección de datos y socio en Puello Herrera-Alies-Pascal (APH Abogados) explicó a los asistentes a las jornadas el contexto legislativo dominicano. Según sus palabras, el derecho de protección de datos personales es reivindicado en la República Dominicana el año 2010 al reconocerse como una prerrogativa fundamental y autónoma en la Constitución del país, independiente de otras prerrogativas afines como intimidad, privacidad, entre otras. En el año 2013, fue promulgada la Ley Orgánica de Protección de Datos Personales, núm. 172-13, la cual reguló la figura del habeas data y estableció unos principios básicos en materia de protección de datos personales. “Sin embargo, el alcance de dicho texto legal, fue erróneamente limitado solo al sector monetario y financiero, regulando solo la información crediticia y excluyendo datos personales de otros ámbitos (salud, por ejemplo). Esto provoca que las empresas privadas e instituciones públicas se encuentran sin reglas claras, salvo aquellas impuestas por derechos conexos (privacidad, intimidad, etc.) y normativa aplicable (como el Reglamento General de Protección de Datos Personales de la Unión Europea, para empresas que traten datos de europeos)”, añadió.
Para Peña-Pérez, “lo más cercano a ser una herramienta legal efectiva” es la Ley núm. 53-07 sobre Delitos de alta tecnología, la cual sanciona con penas de prisión la intervención e interceptación de datos y la invasión a la privacidad a través de sistemas electrónicos (artículos 9 y 19).
Por otra parte, en la República Dominicana se conformó una comisión multidisciplinar para redactar, con el apoyo del Consejo de Europa, un proyecto de Ley General de Protección de Datos cuyo borrador aún no ha sido presentado al Congreso Nacional. En este texto, “claramente influenciado” por el RGPD (2016) y por la ley española de protección de datos en los aspectos aplicables, se pueden visualizar “importantes” cambios, de acuerdo con Pascal Peña-Pérez: “a) Se crea una autoridad independiente y autónoma que regule el tema, con capacidad de dictar reglamentos de alcance general y dictar normas de alcance particular; b) Se establece un régimen general de protección de datos personales, aplicables tanto al sector público como al ámbito privado; c) Se crean faltas concretas y se clasifican según su gravedad (muy graves, graves y leves), estableciéndose además un régimen claro de consecuencias en caso de incumplimiento; d) Se crea la figura de un delegado de protección de datos para los entes y órgano de la administración pública; e) Se le da connotación penal al desacato de las decisiones que puedan ser dictadas por la autoridad nacional de protección de datos; y e) se establecen criterios sobre la transferencias internacional de datos; entre otras importantes mejorías”.
Texto: Javier Picos. Fotos: J.P.