La Nueva Ley para el Cibercrimen y la Privacidad del 2007

Estados Unidos busca adoptar una nueva ley para hacerle frente a los nuevos retos que presenta la delincuencia cibernética.  

Por Joel A. Gómez Treviño

En Mayo de 2006, el Presidente George Bush de los Estados Unidos de América ordenó la creación de un “Comité (Fuerza de Tarea) contra el Robo de Identidad”. El Presidente Bush reconoció que el robo de identidad impone una pesada carga financiera y emocional en sus víctimas, y que afecta gravemente la economía de los Estadounidenses.

Dos eran los principales objetivos de este proyecto: (1) Por una parte, el Presidente ordenó un trabajo coordinado entre los organismos gubernamentales para combatir con firmeza este deito; (2) A su vez, giró instrucciones para elaborar un plan estratégico con el objetivo de hacer que los esfuerzos del gobierno federal fueran más efectivos y eficientes en materia de toma de conciencia, prevención, detección y persecución del robo de identidad.

Existe un consenso de que el daño provocado por robo de identidad es generalizado, se dirige a todos los grupos demográficos, perjudica tanto a consumidores como a empresas, y que sus efectos pueden ir mucho más allá de un daño financiero.

Desde 1998, el gobierno americano adoptó la “Ley para la Asunción y Disuasión del Robo de Identidad”, la cual creó el delito federal de robo de identidad e impuso a la Comisión Federal de Comercio la facultad de recibir quejas de víctimas de Robo de Identidad, compartir dichas quejas con las autoridades federales, estatales y locales, así como proveer a las víctimas de información que las ayudara a restablecer su buena reputación.

Durante estos años, sin embargo, el problema de robo de identidad se ha vuelto más complejo y retador para el público en general, para el gobierno y para el sector privado.

De acuerdo al Servicio Secreto, muchas de las penetraciones a sistemas de tarjetas de crédito en el 2006 fueron originadas en Rusia y Ucrania, y los criminales que operan en esos países han estado directamente involucrados en algunas de las mayores penetraciones a sistemas financieros de los Estados Unidos en los últimos cinco años.

Un estudio de Gartner reveló que en el 2006 hubo 15 millones de víctimas de Robo de Identidad. Eso significa que cada minuto hay 28.5 víctimas de este crimen, o una nueva víctima cada 2 segundos.

Este delito afecta también a un segundo grupo de víctimas: la comunidad de negocios. Algunos expertos afirman que el robo de solo una laptop puede costarle a una empresa hasta $90,000 dólares o más en multas, monitoreo de crédito de las víctimas, control de daños mediante relaciones públicas y litigios relacionados. Un estudio informó que el robo de identidad le costó a negocios y consumidores estadounidenses $56.6 billones de dólares en el 2005.

Publicada en abril de 2007, esta estrategia de la “Fuerza de Tarea contra el Robo de Identidad” se centra en las mejoras en cuatro áreas clave: (1) el mantenimiento de los datos sensibles de consumidores fuera de las manos de los ladrones de identidad a través de una mejor seguridad de los datos y una educación más accesible, (2) hacer más difícil para los ladrones de identidad la obtención de información sobre consumidores a ser utilizada para falsificar identidades, (3) la asistencia a las víctimas de robo de identidad para que se recuperen del delito, y (4) disuadir el robo de identidad mediante una persecución y castigos más severos a quienes cometen el delito.

Conforma pasa el tiempo no sólo se incrementan los ataques, sino que las modalidades en ataques y delitos van cambiando, haciéndose cada vez más sofisticadas y más complicadas de rastrear.

Hace apenas unos días, el 17 de enero del año en curso, el Centro para Quejas de Delitos por Internet (IC3) publicó en un comunicado de prensa que los ataques de “Vishing” van en aumento. De acuerdo al IC3, “debido a las metodologías criminales en constante evolución, es imposible describir todo escenario. Estén alerta y protejan su información personal identificable. Tengan cuidado con emails, llamadas telefónicas o mensajes de celular que les requieran su información personal”. En otro comunicado de prensa del mismo mes, el IC3 también alertó a la población de correos electrónicos “intimidantes” en donde se usan fotografías de directores del FBI, así como sellos y logotipos de la agencia para solicitar información personal a los internautas.

Toda esta difícil tarea de lucha contra la ciberdelincuencia, en particular en el ramo de robo de identidad y ataques relacionados (“phishing” y “vishing”, entre otros), ha motivado al gobierno de los Estados Unidos a proponer la creación de una nueva ley denominada “Ley para la Privacidad y el Cibercrimen del 2007 (Privacy and Cybercrime Enforcement Act of 2007)”.

Si bien las autoridades están tomando muchas medidas para abordar agresivamente la amenaza de los delitos cibernéticos y el robo de identidad, las lagunas y las deficiencias de la legislación vigente han inhibido su capacidad para hacerlo. La Ley para la Privacidad y el Cibercrimen del 2007, una vez aprobada por el Congreso, se ocupará de varios de estos defectos y proporcionará herramientas importantes para promover la aplicación de la ley.

Este proyecto de ley, que en realidad propone modificar el Título 18 del Código de los Estados Unidos (equivalente a nuestro Código Penal y Código de Procedimientos Penales), en su Titulo Primero establece que regulará, entre otras cosas, “el aumento de las penas por robo de identidad y otras violaciones a la privacidad de la información y la seguridad”.

Algunos puntos interesantes que cubre esta ley son los siguientes:

Sección 1040. Quien, teniendo la obligación de dar aviso de una violación de seguridad que involucre información sensible de identificación personal, conscientemente no lo haga, deberá ser multado bajo esta Título o castigado con prisión hasta por cinco años, o ambas cosas.

El término “información sensible de identificación personal”, a los ojos de esta ley significa “cualquier información digital o electrónica que incluya: (A) el nombre y apellido de una persona, o la inicial de su nombre y su apellido, o la dirección o número telefónico en combinación con cualquiera de los siguientes elementos de información, en donde los elementos de datos no están protegidos por algún mecanismo tecnológico que entregue los elementos de datos indescifrables: (i) un número de seguro social, licencia de conducir, identificación estatal o número de pasaporte completo; (ii) apellido materno y fecha completa de nacimiento; y (iii) información biométrica única, tal como huella digital, huella de voz, imagen del iris o la retina; o (B) un número de cuenta financiero o número de tarjeta de crédito o débito en combinación con un código de seguridad, código de acceso o clave de acceso que sea requerido por un individuo para obtener un crédito, retirar fondos, o realizar una transacción financiera mediante dichos números.

El término “violación de seguridad” significa un compromiso o la vulneración de la seguridad, confidencialidad o integridad de información computarizada que existe razones para creer que ha resultado en acceso inadecuado a información sensible de identificación personal.

Dicho en pocas palabras, si una empresa es víctima de hacking o cualquier ataque cibernético, del cual pueda derivar la vulneración (copia o robo) de bases de datos con información personal de clientes, y si dicha empresa no da aviso inmediato a las autoridades, podrá ser multada y sus representantes legales condenados hasta por cinco años de prisión.

La misma sección 1040 establece que: una persona que es propietaria o posee información en forma electrónica y que tiene conocimiento de una violación mayor de seguridad del sistema que contiene dicha información bajo responsabilidad de tal persona, debe dar aviso inmediato de dicha violación de seguridad al Servicio Secreto de los Estados Unidos o al Buró Federal de Investigaciones.

El término “violación mayor de seguridad” significa cualquier violación de seguridad que involucre (i) medios de identificación pertenecientes a 10,000 o más individuos; (ii) bases de datos del gobierno federal; (iii) medios de identificación de empleados del gobierno federal o proveedores involucrados en asuntos de seguridad nacional o de cumplimiento de la ley.

La sección 1030 del Código de los Estados Unidos también se propone modificar para incluir como delitos la ciber-extorsión y la conspiración para cometer delitos informáticos, así como el agravamiento de las penas.

La asistente del Procurador General de los Estados Unidos y Jefa de la División Criminal del Departamento de Justicia, mediante petición escrita dirigida al Congreso de los Estados Unidos, solicitó fuertemente que se considere modificar la sección 1030 del Código para penalizar adecuadamente el uso del spyware, botnets y keyloggers, ya que son herramientas usadas rutinariamente por los criminales para robar información sensible y cometer robo de identidad y otros delitos relacionados, considerando que la ley federal crea una laguna que inhibe significativamente la persecución de estos delincuentes.

Como nos hemos podido dar cuenta, el Congreso de los Estados Unidos y las autoridades relacionadas con esta materia (el Departamento de Justicia, Servicio Secreto, el Buró Federal de Investigaciones y la Comisión Federal de Comercio) llevan años luchando en contra del robo de identidad y otros delitos cibernéticos asociados a esta conducta criminal.

¿Y en México? No se preocupen, NO PASA NADA! Seguimos con nuestro “viejo” y defectuoso Código Penal Federal que a la letra dice: “Al que sin autorización modifique, destruya o provoque pérdida de información contenida en sistemas o equipos de informática [privados, del Estado o de las instituciones que integran el sistema financiero] protegidos por algún mecanismo de seguridad, se le impondrán X años de prisión y X días de multa. Al que sin autorización conozca o copie información contenida en sistemas o equipos de informática [privados, del Estado o de las instituciones que integran el sistema financiero] protegidos por algún mecanismo de seguridad, se le impondrán X años de prisión y X días de multa.”

Seguramente nuestros legisladores creen que esto es todo lo que México necesita para hacer frente a la delincuencia cibernética. Esperemos a que en un futuro no nos llegue por sorpresa una ola legislativa que no pase por todos los “intermedios” que han vivido otros países.