Delitos Informáticos y Ciberfraude en Argentina
El Teatro de Sombras Digital: ¿Qué es un Delito Informático?
Existe una curiosa mitología popular que presenta a internet como una especie de Lejano Oeste moderno, un espacio sin ley donde las acciones se disuelven en el éter digital sin dejar rastro ni consecuencia. Es una idea reconfortante, sobre todo para quienes confunden la habilidad de abrir una pestaña de incógnito con un manto de invisibilidad jurídica. La realidad, como suele ocurrir, es bastante más aburrida y considerablemente más punitiva. El derecho penal, con su paso cansino pero implacable, ha llegado a este nuevo mundo.
En nuestro país, el punto de inflexión fue la sanción de la Ley 26.388 en 2008. Esta norma no creó un código de «delitos de internet» desde cero, sino que, de una forma muy práctica y algo rudimentaria, modificó el Código Penal de toda la vida para que ciertas conductas digitales encajaran en figuras ya existentes. Fue un reconocimiento tardío pero necesario de que un daño es un daño, sin importar si se inflige con un martillo o con un script malicioso. A continuación, algunas de las estrellas de este nuevo firmamento delictivo:
Acceso ilegítimo a un sistema informático (Art. 153 bis): Piense en esto como el allanamiento de morada del siglo XXI. La ley castiga a quien «a sabiendas accediere por cualquier medio, sin la debida autorización o excediendo la que posea, a un sistema o dato informático de acceso restringido». Lo interesante aquí es el verbo «acceder». El delito se consuma con el simple hecho de entrar. No hace falta que usted robe, borre o modifique nada. El solo hecho de mirar donde no debía, de usar una contraseña ajena para curiosear, es suficiente para meterse en un problema. Es la versión digital de abrir la correspondencia de otro; la curiosidad, en este caso, puede costarle una causa penal.
Daño informático (Art. 183, segundo párrafo): Aquí la cosa se pone más seria. Esta figura sanciona a quien «alterare, destruyere o inutilizare datos, documentos, programas o sistemas informáticos». Es el equivalente al delito de daño tradicional. Si usted le raya el auto a su vecino, comete un daño. Si le encripta todos los archivos del disco duro con un ransomware, también. La ley entiende, con una lucidez sorprendente, que los datos tienen valor. Borrar la única copia de una tesis doctoral o la base de datos de clientes de una empresa no es una travesura, es la destrucción de un activo, a veces de valor incalculable.
Fraude informático (Art. 173, inciso 16): Esta es, quizás, la figura más común y la que más víctimas genera. Es la estafa de siempre, la del «cuento del tío», pero con tecnología. La ley castiga a quien «defraudare a otro mediante cualquier técnica de manipulación informática que altere el normal funcionamiento de un sistema informático o la transmisión de datos». El phishing que lo lleva a una página falsa del banco, el malware que captura sus credenciales, el engaño por redes sociales para que transfiera dinero… todo cae bajo este paraguas. El núcleo del delito sigue siendo el mismo: el ardid o engaño para obtener un beneficio patrimonial ilícito a costa de otro. El medio es lo que cambia, pero el resultado, un bolsillo más liviano para la víctima, es idéntico.
La Escena del Crimen: Rastreando lo «Intangible»
Cuando el delito no deja casquillos de bala ni puertas forzadas, la investigación se vuelve un ejercicio de arqueología digital. La evidencia es volátil, etérea y, para un juez formado en el derecho decimonónico, profundamente extraña. Sin embargo, la supuesta «invisibilidad» de estos crímenes es otro mito. Se dejan rastros, solo hay que saber dónde y cómo buscarlos.
La pieza central de muchas investigaciones es la dirección IP (Internet Protocol). Se la suele llamar la «patente» o el «domicilio» de una conexión a internet. En la práctica, es un número que los proveedores de internet (ISP) asignan a sus clientes. Cuando se comete un delito, un fiscal puede, orden judicial mediante, preguntarle al ISP a qué cliente le correspondía esa IP en esa fecha y hora exactas. Pero cuidado, esto no es una bala de plata. Una dirección IP identifica una conexión, un módem, un router. No identifica a la persona sentada frente al teclado. Probar quién usaba el dispositivo en el momento del hecho es el siguiente, y a menudo más difícil, paso.
Luego están los logs o registros. Son los diarios de a bordo que escriben obsesivamente los sistemas informáticos. El servidor de un banco registra cada intento de acceso, el router de su casa registra qué dispositivos se conectan, una red social registra desde qué IP se publicó un comentario. Estos registros son una mina de oro para un investigador, pero también son frágiles. Pueden ser borrados, alterados o simplemente sobreescritos por el paso del tiempo. La rapidez es clave.
Finalmente, el concepto más importante y el que más dolores de cabeza genera: la cadena de custodia. La evidencia digital debe ser recolectada, preservada y analizada siguiendo un protocolo estricto para garantizar que no ha sido alterada. No se puede simplemente copiar un archivo a un pendrive. Se deben crear «imágenes forenses» (copias bit a bit del original), calcular «hashes» (firmas digitales únicas) para verificar la integridad y documentar cada paso. Un error en este procedimiento burocrático puede hacer que la prueba más contundente sea declarada nula. Es un trabajo minucioso que tiene poco que ver con las maratones de tecleo que se ven en las películas.
El Manual del Acusador: Cómo Construir un Caso Sólido
Si usted ha sido víctima de un ciberdelito, es natural sentir una mezcla de ira e impotencia. Pero para que esa indignación se traduzca en una acción legal efectiva, se necesita método y cabeza fría. El sistema judicial no funciona con impulsos.
Primero: No contamine la escena del crimen. La reacción inicial de borrar el email ofensivo, formatear el celular infectado o intentar «arreglar» el sistema por su cuenta es comprensible, pero es lo peor que puede hacer. Está destruyendo la evidencia que necesitará más adelante. Deje todo como está, desconecte el equipo de la red si es necesario, pero no altere nada.
Segundo: Documente todo, y hágalo bien. Una simple captura de pantalla puede servir como indicio, pero su valor probatorio es bajo porque es fácilmente manipulable. Lo ideal es realizar un acta de constatación notarial. Esto implica llevar a un escribano público para que dé fe de lo que está viendo en su pantalla: el email de phishing, el perfil falso, los mensajes amenazantes. Este documento tiene un peso probatorio muy superior.
Tercero: Realice la denuncia penal. Un posteo en redes sociales no es una denuncia. Debe dirigirse a la fiscalía que corresponda o a una dependencia policial especializada. Sea lo más detallado posible. Aporte fechas, horas, nombres de usuario, direcciones de email, números de transacción, las capturas de pantalla y, si la tiene, el acta notarial. El fiscal no es adivino; necesita que usted le provea el mapa del tesoro. Sin un relato claro y evidencia que lo respalde, su caso probablemente termine archivado antes de empezar.
Cuarto: Armese de paciencia. La justicia es lenta. La justicia que además debe lidiar con peritajes informáticos, oficios a empresas de tecnología que a veces están en otro continente y una pila de expedientes en papel, es aún más lenta. El proceso será largo y frustrante, pero es el único camino formal para buscar una reparación.
En el Banquillo Digital: Consejos para el Acusado
Ahora, pongámonos del otro lado del mostrador. Un día, recibe una citación o, peor aún, la policía golpea su puerta con una orden para secuestrar sus dispositivos electrónicos. El pánico es una reacción lógica. Una mala decisión, también.
La regla de oro: Silencio. Su derecho a negarse a declarar no es un capricho constitucional; es la herramienta de defensa más poderosa que tiene. Esa necesidad irrefrenable de «aclarar las cosas», de explicar que «fue un error» o que «no sabía lo que hacía», es el camino más rápido para autoincriminarse. Todo lo que usted diga será usado en su contra. No hable con la policía, no hable con el fiscal, no publique su versión en internet. Hable únicamente con su abogado.
La presunción de inocencia sigue vigente. Aunque parezca que la acusación lo da por culpable, es el Estado quien debe probar, más allá de toda duda razonable, que usted cometió el delito. No es usted quien debe probar su inocencia. Y probar un ciberdelito es complejo. La fiscalía debe demostrar no solo que el delito se cometió desde su dirección IP, sino que fue usted y nadie más quien estaba operando el dispositivo en ese preciso instante. ¿Su red Wi-Fi tenía contraseña? ¿Otras personas tienen acceso a su computadora? ¿Podría alguien haber usado su celular? Estas preguntas son la base de una buena defensa.
Cuestione la prueba. Su abogado debe analizar minuciosamente cada pieza de evidencia. ¿Se respetó la cadena de custodia del disco duro secuestrado? ¿El peritaje informático se hizo correctamente? Cualquier irregularidad puede ser motivo para anular la prueba y, con ella, desmoronar toda la acusación. La burocracia que antes mencionábamos como un tedio para el acusador, se convierte en el mejor aliado del defensor.
El factor de la intención (dolo). Para la mayoría de estos delitos, la fiscalía debe probar que usted actuó con dolo, es decir, con conocimiento e intención de cometer el ilícito. ¿Hizo clic en un enlace malicioso por accidente o diseñó una campaña de phishing a sabiendas? La diferencia es abismal. Demostrar la intención detrás de una serie de clics es una de las tareas más difíciles para la acusación. La ausencia de prueba sobre su estado mental puede ser suficiente para una absolución, incluso si está probado que su computadora fue la herramienta del crimen.
En definitiva, este nuevo campo de batalla legal es un terreno pantanoso tanto para quien acusa como para quien se defiende. La tecnología avanza a una velocidad que la ley no puede seguir, creando grises y vacíos que son explotados por ambas partes. Navegarlo requiere menos fe en la tecnología y más en los principios fundamentales del derecho penal, una buena dosis de escepticismo y, por supuesto, un abogado que entienda que la diferencia entre la libertad y una condena puede estar oculta en los metadatos de un archivo JPEG.
