El internet de las cosas y su relación con el Derecho penal económico
Existe un naciente interés de los juristas dedicados al estudio del Derecho Penal en el desarrollo de Inteligencia Artificial (IA), y los riesgos que pueden generar su utilización en los ámbitos laboral, social y personal, no obstante, tenemos una fuente de peligro por muchos olvidada y desconocida por otros, que está presente en todo momento nuestro alrededor, me refiero al Internet de las cosas (IoT, por sus siglas en inglés).
Antes de proseguir con esta reflexión, debemos situarnos en contexto y disponer de una aproximación de ¿Qué es el Internet de las Cosas?
El IoT Se puede definir como una innovación tecnológica que tiene como objetivo conectar los ítems que usamos diariamente con Internet, con el objetivo de aproximar cada vez más el mundo físico a la digital [i].
El autor de este término, Kevin Aston, es un tecnólogo y experto en transformación digital que lo acuñó en su artículo «That ‘Internet of Things’ Thing»[ii], elaborado cuando estudiaba en el Massachusetts Institute of Technology (MIT). Aston, laboraba en 1999 en Procter & Gamble, como Ejecutivo Junior. La empresa tenía un problema de gestión de negocios por cuanto uno de sus principales productos del área cosmética se agotaba en cuatro de diez tiendas, mientras que en el almacén de P&G había inventario suficiente[iii]. Analizaron la problemática y con la instalación de un microchip de identificación por radiofrecuencia en red (RFID) lograron darle solución.
La evolución del esquema inicial de lograr que los ordenadores se comuniquen con los objetos ha llevado a la interconectividad bajo la plataforma de Internet. IoT está presente en nuestras vidas desde que nos levantamos, a tomar un café recién colado en la cafetera eléctrica inteligente, el reloj que mide las pulsaciones cardíacas y las calorías activadas diariamente, las cámaras wi-fi que permiten monitorear nuestro hogar u oficinas, en fin, se han hecho tan común la utilización de esta technology que muchas veces pasa desapercibida.
El creciente desarrollo de IoT, genera un desafío para el derecho penal cuantitativamente igual o superior al ocurrido con el advenimiento de Internet. Los millones de objetos de uso diario conectados a Internet avizora una fuente exponencial de posibles herramientas tecnológicas para cometer hechos punibles, que en la perspectiva de estas reflexiones serían de carácter económico.
Los nuevos retos que tienen los desarrolladores de esta tecnología ya no tan nueva, se refieren no solamente a la evolución, calidad y usabilidad de los productos, sino a garantizar la seguridad para los usuarios finales.
Los ciberdelincuentes exploran las brechas de como colarse entre los firewall y sistemas encriptados de transmisión de data de IoT para violar los mecanismos de seguridad y poder cometer delitos de mayor relevancia, delitos con contenido económico.
La amenaza que representa el uso indiscriminado y creciente de IoT por parte de los ciberdelincuentes ha llamado la atención al Parlamento Europeo en cuyo informe de sesión del 25 de julio de 2017, ha considerado la posibilidad que mediante el hackeo o pirateo informático de las cosas conectadas a Internet puedan suponer una amenaza concreta para la vida de los seres humanos[iv] (Informe A8-0272/2017 p. 7), en virtud de lo cual se requiere a los fabricantes de equipos y desarrolladores de software invertir en soluciones de seguridad que impidan los delitos cibernéticos, con arreglo a la legislación de la Unión Europea y a la Directiva de Seguridad de las redes y de la información[v] (SRI).
Desde el punto de vista del Derecho Penal Económico, IoT tiene relevancia en la ocurrencia del delito de espionaje y consecuente revelación de secretos comerciales, así como la proclive incidencia en la seguridad laboral. De este modo se observa que la amenaza a distintos bienes jurídicos, incluyendo los que protegen el derecho a la privacidad e intimidad, con la utilización de esta NT para obtener datos privados de los usuarios, es totalmente cierta y grave.
Como antecedentes, vemos que existen entidades que se dedican a prestar servicios de espionaje corporativo de acuerdo a las necesidades y requerimientos de los clientes. Tal es el caso reportado por Kapersky Lab una empresa global de seguridad informática en el año 2016, en el cual detectaron la actuación de la empresa Saguaro de origen mexicano, que se encargaba de espiar y robar información confidencial de empresas y particulares mediante una combinación de pishing, macros, malware y back door.
Se puede afirmar que la figura del insider[vi], esa persona que valiéndose de su posición laboral y con la obligación de guardar reserva en una empresa presta sus credenciales o claves para accesar a la base de datos o cloud de su empleador que está prevista como una agravante genérica en la Ley de Delitos Informáticos, en el art. 27, ordinal 2[vii] ha quedado en un plano de menor importancia para las estructuras de delincuencia organizada. El riesgo de que sea develada la autoría intelectual del acceso a los datos corporativos, queda prácticamente disminuido ante la utilización de outsourcing de delincuencia cibereconómica dedicada a prestar este servicio[viii].
Más allá de sostener una posición reactiva, mediante el uso del sistema de justicia penal, para la protección de los bienes jurídicos que se han señalado en líneas anteriores se debería acometer con prontitud, vistos los diversos riesgos de ciberdelincuencia a los que estamos sometidos, potenciar a la autoridad existente para que se encargue de diseñar, implementar y evaluar una política sistemática y coherente para mitigar dichos riesgos, que incluya la creación o actualización de cuerpos normativos (Leyes, reglamentos o estándares) que permita contar con un sistema de prevención y reacción ante incidentes de la cibercriminalidad.
Y para concluir, vale recordar que en Venezuela existe desde 2001, la Superintendencia de Servicios de Certificación Electrónica (SUSCERTE) http://www.suscerte.gob.ve creado en el Decreto Ley 1204, de fecha 10 de febrero de 2001, sobre Mensajes de Datos y Firmas Electrónicas que tiene entre sus funciones y que tiene competencia en seguridad de la información desde 2006 para lo cual creo el Sistema Nacional de Gestión de Incidentes Telemáticos (VENCERT), cuyo rincipal objetivo equipo de respuesta ante emergencias informáticas (CERT, pos sus siglas en inglés) gubernamental es la prevención, detección y gestión de los incidentes telemáticos generados en los sistemas de información de la administración pública nacional y los entes públicos a cargo de la gestión de Infraestructuras críticas de la Nación.
Como ejemplo de estas iniciativas en otras latitudes, tenemos al Instituto Nacional de Ciberseguridad de España (INCIBE) (www.incibe.es) que es una empresa de derecho privado que se dedica a dar soporte en materia de seguridad informática a los ciudadanos, empresas públicas y privadas, así como a las administraciones públicas y a las instituciones académicas y de investigación, especialmente aquellas que gestionan infraestructuras críticas. Asimismo, participa en la Estrategia Nacional de Ciberseguridad.
Por su parte en Francia cuenta con la Agencia Nacional de Sistemas de Información (ANSSI) que se encarga de la prevención y de la actuación ante incidentes informáticos que afecten a las instituciones sensibles.
[i] https://www.hostgator.mx/blog/Internet-de-las-cosas/?__cf_chl_captcha_tk__=ca4b47be6c3be26359d2ab3bb9164e1c65bbc140-1587901341-0-AaeAUL5blDmYDFMZ2wZdUGO-d9XnLK4QcS4TKqJ7ZJVwIGkDB2N2Suo-DDM5hCKVexNl1qPio_x2zflzDcS7uqZDSrrj-TcLI9n7HE9PeD3L_G4bBgadT0j8NW1SzhFcwZq0Nc2lwZsZu6HtDR_Vmm7CDvNhxPdgy8-KDEc_yGVBPEpiaiguVF4yhsUHPYASXgn8UzcUew2BhTwzTjSsLsnj4jltp4nfRXBtMwysuOX3fM_hLce8BeROf3p-p6nuaOo0L2ljj44X9e-k4_AcR1oJedzt-KwhFp2xGzv6B-6AIUT_k9rA7j7bHOaSdVmdxaPyTj5wEs2ISwUq-MN9bYSD6dISv5hRlGBTvO0XshzKygBuunH0VI775cegsZRGj5wW5rKfV0CzxuSsTr8XsVptjIMENY3aZ3DS8WfjaBeveBNRfGKt5rI5MEPFpG12VOo2JD2AhEdMUgQk9rvxlGheqiLYyPWAdtQc2ZfOe2megOuu7l94a-dDPlbJ4JcfsEKmVWhPZ1g2fxSVpYf7kLY
[ii] https://www.rfidjournal.com/articles/view?4986
[iii] http://www.eexcellence.es/index.php/expertos-en-gestion/kevin-ashton-un-tecnologo-visionario
[iv] https://www.europarl.europa.eu/doceo/document/A-8-2017-0272_ES.html 0
[v] https://eur-lex.europa.eu/legal-content/ES/TXT/?uri=CELEX%3A32013L0040 0
[vi] La figura del insider training está tipificada como delito en la Ley de Mercado de Valores, G.O. 39.546 en el artículo 52, sobre esta figura y los tipos contenidos en dicha Ley pronto publicaremos un artículo.
[vii] G.O. 37.313. de fecha 30 de octubre de 2001.
[viii] Uno de los mas utilizado es Pegasus, un software malicioso de origen Israelí destinado a recabar información de teléfonos móviles.
