Ejecutivo avanza con borrador de la primera estrategia de seguridad cibernética

Por: Daniel Salazar Murillo 5 marzo
 La cartera de Ciencia, Tecnología y Telecomunicaciones asegura que revelará en las próximas semanas la primera Estrategia Nacional de Ciberseguridad.
La cartera de Ciencia, Tecnología y Telecomunicaciones asegura que revelará en las próximas semanas la primera Estrategia Nacional de Ciberseguridad.

La institucionalidad y la legislación costarricenses corren detrás de los delitos cibernéticos con armas oxidadas, desfasadas e insuficientes para combatirla.

La legislación poco precisa y los mecanismos de cooperación internacional casi inexistentes en la materia para Costa Rica se suman a la falta de una estrategia nacional para atacar los delitos cometidos en Internet.

Los pasos que se avizoran a corto plazo parecen útiles, pero añejos. En las próximas semanas Costa Rica aprobará en el plenario del Congreso su primera adhesión a un convenio internacional contra la ciberdelincuencia: un texto creado en noviembre del 2001 y presentado a la Asamblea Legislativa desde el 2012.

También se fragua un borrador de una primera estrategia de seguridad cibernética nacional en el país, con la que ya cuentan otras naciones como Colombia, Jamaica, Uruguay o Trinidad y Tobago.

¿Está preparada Costa Rica para enfrentarse a los delitos cibernéticos? Una fotografía al paisaje muestra una lista con extensos pendientes.

¿Por qué Cibercrimen?

Que estén en la nube no quiere decir que sus implicaciones sean etéreas.

Algunos cálculos recopilados por el Banco Interamericano de Desarrollo (BID) estiman que los delitos cibernéticos cuestan a América Latina y el Caribe alrededor de $90.000 millones por año, recursos que podrían cuadriplicar el presupuesto que se destina a investigadores científicos de la zona. Entre el 2011 y 2014, los gobiernos de la región reportaron un incremento promedio de un 12% en el número de incidentes de este tipo (y es posible que la cifra sea una subestimación).

“Probablemente (estos costos) ya superan a los de la delincuencia y la violencia ‘tradicionales’ en muchos países del mundo”, afirma James Andrew Lewis, investigador del BID.

Costa Rica desconoce los costos del cibercrimen, pero cabe la posibilidad de que su realidad no diste de la de otros países en la región. Para el 2015, según datos de la Superintendencia de Telecomunicaciones (Sutel) la penetración móvil de Internet alcanzaba a un 101% de los habitantes y la penetración fija a un 38,9% de los hogares.

Virtualmente insuficientes

Las primeras acciones para enfrentarse al tema han sido positivas, pero aún insuficientes. El país ha introducido varias reformas sobre el tema desde 1999. La última y más importante se aprobó en julio de 2012 (ley 9048), e incluía cambios al Código Penal para incorporar nuevas definiciones sobre delitos como la violación de correspondencia, la extorsión, la estafa, el daño informático o el espiojane.

“Sin embargo, la técnica legislativa del proyecto no fue suficiente. Hay graves problemas de aplicación de la normativa que la hacen casi inútil”, afirma Alfredo Chirino, decano de la Facultad de Derecho de la Universidad de Costa Rica (UCR) y profesor en materia de delitos informáticos.

Chirino destaca que el texto tiene problemas para diferenciar con claridad delitos como la estafa, el sabotaje y los daños informáticos. Eso provoca que sean casi inaplicables.

Otros delitos como el skimming (robo de información de tarjetas de crédito), grooming (conductas dirigidas a ganarse la confianza de un infante para poder abusar de él), el hacking o el ciberacoso, se mantienen aún casi descubiertos en el país, considera el profesor.

La Asamblea Legislativa también ha dejado varado durante cinco años la aprobación de la adhesión al Convenio Sobre la Ciberdelincuencia. Sería el primer instrumento formal internacional al que se sumaría Costa Rica en esta materia. Hoy el texto espera su aprobación en segundo debate.

El Convenio de Budapest, nacido en noviembre del 2001 (antes de que existiera Facebook, Twitter, Snapchat o Google Chrome) integra a una treintena de países desarrollados como Dinamarca, Francia o Estados Unidos y les permite cooperar para buscar pruebas o investigar delitos.

“Es un instrumento fundamental en la lucha contra el cibercrimen, al agilizar la asistencia mutua entre diversos países para el enfrentamiento de delitos informáticos, dado que su naturaleza y complejidad tecnológica, es en muchos casos un crimen transfronterizo”, dice Edwin Estrada, viceministro de Telecomunicaciones.

Puede ser un paso importante, opina Chirino, pero asegura que la legislación costarricense no tiene un capítulo para efectuar ese tipo de cooperaciones e intercambios de pruebas. “Eso podría ser una gran cortapisa para hacerlo efectivo”, añade.

Interés nacional

Es cierto que el cibercrimen puede golpear a los ciudadanos o las empresas individualmente.

El estudio Security Report Latinoamérica 2016, de la firma Eset, revelaba en una investigación regional que casi un 45% de las empresas costarricenses sufrieron ataques informáticos.

El cirbercrimen puede golpear servicios básicos como las telecomunicaciones, el manejo de emergencias, la propia generación y distribución de energía y los datos privados que las instituciones guardan en sus sistemas.

El Ministerio de Ciencia y Tecnología de Costa Rica afirma estar trabajando en la primera estrategia nacional de cibersegurdad para alinear acciones concretas sobre el tema. Generar la estrategia daría el banderazo para crear planes y mecanismos que prevengan, gestionen o minimicen incidentes de seguridad informática, espera el Ministerio.

Eso haría que Costa Rica se incorpore a la pequeña lista de solo cinco países latinoamericanos que, según el BID, tienen un plan concreto contra este tipo de delitos informáticos.

“El país tiene un borrador bastante avanzado de la estrategia, el cual está siendo revisado exhaustivamente (...) y esperamos ponerlo en consulta pública en las siguientes semanas”, detalló el viceministro Estrada.

Algunos delitos

El Banco Interamericano de Desarrollo (BID) categoriza tres tipos principales de delitos informáticos.

Delitos tradicionales: Aquellos relacionados con los delitos que se realizan fuera de la nube. Se incluye el fraude o la falsificación, cuando son cometidos por medio de formas electrónicas.

Publicación de contenidos: Incluye la divulgación de materiales ilegales a través de medios electrónicos, como la pornografía infantil, el ciberbullying (acoso en Internet) y divulgación de datos privados, entre otros.

De naturaleza electrónica específica: ataques contra sistemas de información, denegación de servicio (ataques a sistemas o páginas web para impedir que sean accesibles a usuarios) y piratería informática.

Fuente BID (2016).