¿Sabotaje, ciberextorsión o estafa? El reto de castigar los ciberataques de ‘ransomware’ como delitos

Zephyr_p / Shutterstock

María Isabel Montserrat Sánchez-Escribano, Universitat de les Illes Balears

El cibercrimen está sufriendo un importante cambio de paradigma. Durante los últimos años ha ido adquiriendo una naturaleza mucho más agresiva y generalizada, pero a la vez menos sofisticada. Además, la pandemia ha potenciado exponencialmente la criminalidad en internet.

La digitalización forzosa ha supuesto la aparición de factores de riesgo críticos para la ciberseguridad de ciudadanos, empresas e instituciones del Estado (especialmente para el sector educativo y sanitario).

La Europol ya ha advertido del surgimiento de una nueva categoría de cibercrímenes: los high tech crimes, unos ciberdelitos que se cometen utilizando malware, programas maliciosos que se infiltran y obtienen el control del sistema informático o del dispositivo móvil para robar información valiosa o dañar datos.

La principal preocupación que estos cibercrímenes generan tiene su razón de ser en la facilidad para que una persona sin ningún tipo de conocimiento informático pueda cometerlos. Esto sucede porque en la internet oscura o dark web es posible comprar kits de ciberataque a un precio muy reducido y porque resulta fácil contratar a alguien para que consiga el acceso a la red corporativa de una empresa.

Algunos ciberdelincuentes consiguen ese acceso para vender más tarde las credenciales obtenidas en la internet oscura. De hecho, la internet oscura se ha convertido ya en una plataforma de comercio electrónico, con la particular característica de utilizar invariablemente las criptomonedas como método de pago por su carácter anónimo. Antes se usaba el bitcóin y, hoy día, monero.

Epidemia de ransomware

Uno de estos high tech crimes, el ransomware, se ha convertido en los últimos años no solo en un enorme problema para la ciberseguridad a nivel global, sino más bien en una epidemia.

Los ataques de ransomware se basan en la introducción de un malware en el sistema operativo que no solo permite acceder al sistema y a los datos, sino que los secuestra. El ciberdelincuente obtiene el control remoto del sistema, inutilizándolo y haciendo inaccesibles los datos, y deja en pantalla un mensaje de rescate solicitando el pago de una importante suma económica para poder recuperar el control.

Desde hace unos años, estos ataques han evolucionado hacia técnicas denominadas de doble extorsión. Estas suponen no solo el ataque disruptivo del sistema informático, sus datos y sus procesos productivos, sino también la filtración de los datos secuestrados o la amenaza y, en su caso, la posterior publicación de toda la información confidencial en la internet oscura.

Pagar no sirve de nada

En la mayor parte de los casos, el malware entra en el sistema utilizando alguna vulnerabilidad.

Concretamente, se han detectado cuatro vías de acceso: visita de páginas web comprometidas, descarga de software de actualización falso o infectado, acceso a enlaces web o archivos adjuntos infectados en emails de phishing y conexión al sistema de dispositivos externos infectados.

Las víctimas de estos ataques son grandes corporaciones tanto del sector público como del privado. Esto ha permitido a los atacantes aumentar tanto el importe del rescate solicitado como las probabilidades de que la víctima pague el rescate, hecho que en 2020 se incrementó un 171 %.

Solo alrededor de la cuarta parte de las víctimas que ha pagado el rescate ha recuperado los datos. Pagar el rescate no implica recuperar los datos, solo acrecienta el problema y alimenta el cibercrimen.

¿Qué tipo de delito se comete?

En el plano jurídico, cabe decir que el Código Penal español es perfectamente capaz de combatir estos ataques. El problema para dar una respuesta penal a este tipo de conductas radica, normalmente, no en las herramientas jurídicas de las que disponemos, sino en la dificultad técnica que estas van adquiriendo. Muchas veces resulta difícil traducirlas al derecho penal, incluso para determinar el delito al amparo del cual deben castigarse.

En lo que se refiere al ransomware, traducir esta conducta a un delito exige diferenciar entre el ransomware clásico y aquel que se produce mediante técnicas de doble extorsión.

El ransomware clásico constituye un delito de daños informáticos, también llamado sabotaje informático. Este delito castiga aquellos ciberataques que suponen la interrupción y obstaculización del funcionamiento del sistema informático, pero solo se castigan en los casos más graves. Esta gravedad se valora atendiendo al grado de afectación de la funcionalidad del sistema, al coste de su recuperación y a la afectación de la situación a los procesos de producción.

Además, este delito de daños se comete con la finalidad de reclamar el pago de una cantidad económica a la víctima, por lo que también nos encontramos en presencia de una ciberextorsión. No existe en el Código Penal español un delito de ciberextorsión como tal, solo se prevé una conducta genérica que engloba tanto una extorsión no informática como aquella que se comete a través de internet o usando medios informáticos.

Dos únicas sentencias en España

Aunque este es el esquema general de todo ransomware, no deja de ser curioso que la dos únicas sentencias de la Audiencia Nacional que existen en España sobre este delito no castiguen por extorsión sino por estafa. Se trata de las Sentencias de la Audiencia Nacional, Sala de lo Penal, Sección 4ª, nº 14/2016, de 3 de marzo y nº 28/2016, de 4 julio (dictadas por conformidad), en las que se enjuiciaba el caso de un ransomware que afectó a usuarios de 22 países conocido como “virus de la policía”.

¿Cómo es posible que se resolviera por estafa? Pues porque el virus, tras secuestrar el sistema, hacía aparecer en la pantalla un mensaje con el escudo oficial de la Guardia Civil o del Cuerpo Nacional de Policía indicando al usuario que había visualizado contenidos constitutivos de delito (pornografía infantil o actividades de terrorismo) y le solicitaba pagar 100 euros a modo de multa para conseguir el desbloqueo y el acceso a los datos del sistema infectado. Se trata de una estafa porque, como se ve, el ransomware suplantaba a la Policía e intentaba engañar a la víctima, algo que no es común ni habitual en estos casos.

Dos son las curiosas conclusiones que podemos extraer de todo lo dicho.

La primera es que, en la mayor parte de los cibercrímenes, el ciberespacio actúa como el medio de comisión del delito, facilitando la ejecución, la impunidad y un mayor grado de intimidación de la víctima, pero, ciertamente, el ciberdelito en sí no será el objetivo principal del atacante.

La segunda es que, como dice el refrán, “en este mundo traidor nada es verdad ni es mentira, todo es según el color del cristal con que se mira”: en derecho no existe un medio matemático que nos permita resolver todos los casos de una misma manera, nada es blanco o negro al 100 %. Debemos atender a las circunstancias y particularidades de cada caso para hallar la mejor y más correcta respuesta jurídica frente a cada delito en concreto.The Conversation

María Isabel Montserrat Sánchez-Escribano, Profesora contratada doctora de Derecho Penal, Universitat de les Illes Balears

Este artículo fue publicado originalmente en The Conversation. Lea el original.