La ciberdelincuencia en Perú

Por: Ricardo Elías Puelles¹, Asociado especialista en Ciberdelincuencia de la Sociedad de Derecho y Empresas Digitales.

Introducción

Según Kaspersky², a octubre del 2020, América Latina registra 5 mil ataques de ransomware por día. Esto es, se secuestran sistemas informáticos y se solicitan pagos para su liberación; si la víctima no accede, se exige dinero para evitar su divulgación. Perú, con 5.56%, es el cuarto país más atacado de la región. Brasil (46.69%), México (22.57%) y Colombia (8.07%) encabezan esta preocupante lista. Los atacantes aprovechan las malas prácticas empresariales y gubernamentales para conseguir sus ilícitos objetivos: uso de software pirata, de software no actualizado o de contraseñas de fácil adivinación.

Photo de Sora Shimazaki / Pexels

En esta publicación analizaremos cómo responde el Estado peruano a los ataques ya cometidos, es decir abordaremos los ciberdelitos desde el marco normativo y sus estadísticas, hasta la función de la policía y la fiscalía en la investigación criminal.

Marco normativo

Producto de la revolución tecnológica y económica de fines del siglo XX, así como de la preocupación por un eventual fraude en los próximos comicios, el 17 de julio del 2000 se incorporó un capítulo titulado “Delitos Informáticos” a la sección que reunía los “Delitos Patrimoniales” del Código Penal. Nótese que inicialmente se asociaba la idea de un daño / beneficio económico a este fenómeno delictivo. Hoy en día, sabemos que estos ilícitos no necesariamente buscan esta finalidad -el child grooming y la distribución de material de abuso sexual infantil, así lo grafican-.

Tuvo que transcurrir más de una década para que Perú contara con un marco normativo robustecido: La Ley de Delitos Informáticos -promulgada en octubre del 2013 y modificada en marzo del 2014-. Esta ley agrupa los delitos en los siguientes capítulos:

• Delitos contra datos y sistemas informáticos: Acceso ilícito (art. 2), atentado a la integridad de datos informáticos (art. 3) y a la integridad de sistemas informáticos (art. 4).
• Delitos informáticos contra la indemnidad y libertad sexual: Proposiciones a niños, niñas y adolescentes con fines sexuales por medios tecnológicos (art. 5).
• Delitos informáticos contra la intimidad y el secreto de las comunicaciones: Interceptación de datos informáticos (art. 7).
• Delitos informáticos contra el patrimonio: Fraude informático (art. 8).
• Delitos Informáticos contra la fe pública: Suplantación de identidad (art. 9).
• Disposiciones comunes: Abuso de mecanismos y sistemas informáticos (art. 10) y circunstancias agravantes (art. 11).

Foto por cottonbro / Pexels

El Reporte de Ciberseguridad³, emitido en julio del 2020 por el Banco Interamericano de Desarrollo y la Organización de los Estados Americanos califica nuestra legislación sustantiva con un 3/5. Esto demuestra que vamos por buen camino, pero que debemos fortalecer la actual regulación. La legislación procesal recibió una calificación menor: 2/5. Quizás ello explique el alto índice de investigaciones archivadas en los últimos cinco años⁴:

• Fraude informático: De 6,474 casos, se formalizó el 2.13%.
• Suplantación de identidad: De 671 casos, se formalizó el 0.44%.
• Atentados contra datos y sistemas informáticos: De 604 casos, se formalizó el 3.8%.

El Convenio sobre la Ciberdelincuencia o Convenio de Budapest entró en vigor en nuestro país el 01 de diciembre del 2019. Esperemos que la adhesión peruana se refleje en el éxito de las investigaciones criminales.

¿Quién investiga el ciberdelito?

Toda investigación criminal está a cargo del Ministerio Público; sin embargo, la Policía Nacional cumple un rol muy importante al ser el apoyo técnico en las pesquisas. Así, aun cuando una denuncia sea presentada en una comisaría o en una unidad especializada, es la fiscalía quien decide si se investiga o no.

Foto por Tima Miroshnichenko / Pexels

En el caso del ciberdelito, desde el 2005, Perú cuenta con la Unidad de Investigación de Alta Tecnología (DIVINDAT). Sin embargo, (1) no todas las ciudades tienen una unidad especializada similar, (2) la DIVINDAT no cuenta con suficiente soporte técnico, logístico y humano para responder, a tiempo, todos los pedidos formulados por el Ministerio Público. Ahora bien, esto no significa que toda investigación que involucre un caso de ciberdelincuencia es derivada a la DIVINDAT. Así, es facultad de la fiscalía remitir el caso a una unidad especializada distinta: Estafas o Robos, por ejemplo. Esto genera que (3) policías no especializados en ciberdelito, investiguen este fenómeno delictivo.

En el caso del Ministerio Público, el 15 de febrero del 2021, la Unidad Fiscal Especializada en Ciberdelincuencia inició sus labores. La finalidad de esta unidad no es de investigación, sino de acompañamiento, coordinación, gestión y administración. A solicitud de esta unidad, la Fiscalía de la Nación ha creado una “Red de fiscales en ciberdelincuencia a nivel nacional” -quienes serán los puntos de contacto en sus respectivas localidades-. Esto significa que si una empresa denuncia un caso de ransomware, por ejemplo, en San Isidro, el fiscal penal de dicha comuna será quien investigue el caso, pero tendrá el apoyo del fiscal que integra la red, así como de la unidad especializada. El camino escogido es el adecuado pues, de un lado, el fiscal penal adquirirá conocimientos especializados y, de otro, la red y la unidad se nutrirán de casuística y metodología de investigación.

La lucha institucional contra la ciberdelincuencia en Perú se está fortaleciendo. Este camino requiere también el apoyo de empresas, cámaras de comercio, asociaciones, universidades, instituciones educativas y, de forma general, de la sociedad civil.

1 Abogado por la Pontificia Universidad Católica del Perú. Maestro en Razonamiento Probatorio por la Universidad de Girona (España) y la Universitat degli Studi di Genova (Italia). Training coordinator del American Bar Association — Rule of Law Initiative (2014–2018), presidente del Observatorio Peruano de Cibercriminalidad, corresponsal de la RedNac (Net Against Cyberfraud) y miembro de la Sociedad de Derecho y Empresas Digitales.
2 Ver: https://latam.kaspersky.com/about/press-releases/2020_kaspersky-america-latina-registra-5-mil-ataques-de-ransomware-por-dia
3 La publicación puede descargarse en el siguiente enlace: https://publications.iadb.org/publications/spanish/document/Reporte-Ciberseguridad-2020-riesgos-avances-y-el-camino-a-seguir-en-America-Latina-y-el-Caribe.pdf
4 Elaboración propia, efectuada a partir de la información obtenida del Ministerio Público (2015–2020).