Este webinar aborda puntos relativos al impacto del cibercrimen en las empresas, como fraudes informáticos, acceso ilegítimo a una base de datos y obtención de información confidencial (por empleados o terceros). También informa sobre el crimen organizado detrás del ransomware y su impacto económico-corporativo, la preservación de pruebas y cómo y dónde realizar denuncias.
Los oradores fueron:
Nicolás Durrieu, socio en Durrieu Abogados, decano de la Facultad de Ciencias Jurídicas y Sociales de la UADE y miembro del Tribunal de Disciplina del CPACF
Jorge Martín Vila, analista senior de Ciberinteligencia en Resguarda
Alejandro Musso, fiscal a cargo de la Unidad Especializada en la Investigación del Ciberdelito del Departamento Judicial de San Isidro, Provincia de Buenos Aires
Nicolás Durrieu
(04:40) «Una fiscalía especializada en delitos informáticos a nivel federal informa que después de la pandemia los ciberdelitos aumentaron un 403 %. Cada uno de nosotros lo pudo notar, porque afecta no solo a empresas sino a particulares. Por esta razón me quiero focalizar sobre algunos puntos que son de suma importancia. Hoy vivimos en un mundo globalizado e internet cambió la modalidad de los delitos que antes se cometían físicamente. Eso genera muchos problemas a la hora de denunciar estos hechos y de individualizar a los culpables, tanto para la empresa como las fuerzas que investigan. Se agrega además el problema de la territorialidad y de las encriptaciones».
(08:30) «A la hora de efectuar una denuncia judicialmente, definir la territorialidad es es sumamente importante por un tema de competencia. En los delitos informáticos no hay fronteras y se plantean cuestiones de competencia y plazos que permiten la prescripción de los delitos. Son hechos que favorecen la proliferación del cibercrimen».
(12:40) «La legislación nuestra está un poco desactualizada sobre algunos puntos. En Brasil, al contrario, se generaron muchísimos trabajos y hay una demanda en la industria sobre especialistas en protección de datos personales. Las empresas, sobre todo las tecnológicas o las de consumo masivo, que manejan grandes bases de datos de terceros deben denunciar los ataques que sufren en sus bases de datos. Aunque no se llegue a una sanción, está la obligación de denuncia. Pero si comparamos con los los estándares internacionales y en base a lo que se viene, tenemos que dar un paso más. El ataque puede también ser el hecho de un empleado infiel dentro de la empresa».
(14:52) «Hoy en día el delito informático es amplio y muchas veces se trata de fraudes. La sanción varía según el delito. En el caso de una base de datos pública, se aplican penas de cuatro años. Y hay algunos agravantes, como en el caso de empresas relacionadas con servicios públicos. Pero por lo general, acceder a una comunicación, una base de datos o un sistema informático, o entorpecer comunicaciones son delitos menores. Si se presenta una cuestión de competencia, el caso prescribe en muchos casos, antes de que la Corte se expida. La fiscalía tendría que seguir investigando pero muchas veces no lo hace. Entonces, para sortear estas trabas muchas veces se presentan los casos como de «administración fraudulenta», sobre todo si se trata de un empleado infiel. Es una estrategia a evaluar a la hora de presentar el caso.
(18:46) «Cuando las empresas tienen un ataque informático o son víctimas en términos generales de un delito informático, las consecuencias son altas. Las más atacadas son relacionadas con el sistema financiero justamente, porque ahí está el dinero».
(20:30) «Si nosotros hablamos de corrupción, hay que crear una matriz de riesgo de oportunidad, de ocurrencia y de gravedad. Algunas industrias, como por ejemplo las del petróleo o las farmacéuticas, por su interacción con el estado, son más «red flags«. Entonces tienen que tener programas robustos. Lo mismo pasa con el sistema financiero. En estos casos, al igual que para quienes tienen base de datos de terceros, se deben analizar los riesgos y hacer una matriz que permite implementar las políticas de prevención, de análisis y de sanción de eventuales hechos. Todo el mundo puede ser sujeto o víctima de un delito informativo, pero hay que analizarlo y hay que implementar un programa y saber las consecuencias. Ese protocolo de actuación es parte de un programa de integridad y es importante que abogados internos o externos tengan en cuenta estas cuestiones».
(28:20) «Cuando la empresa tiene una un acceso ilegítimo a su base de datos y tiene obligación legal de denunciarlo. En la Ciudad de Buenos Aires y a nivel federal, tenemos fiscales especialistas en delitos informativos. Entonces hay que que ir a esas fiscalías y hablar con ellos. Obviamente si la empresa es víctima, la fiscalía tiene que abrir las puertas y establecer una colaboración público privada para sancionar a los atacantes».
Alejandro Musso
(33:30) «La pregunta no es si vamos a ser víctimas de ciberdelito, sino cuándo. Son muchas las modalidades delictivas que hoy el mercado ofrece, de un modo digamos muy abierto. Telegram es el cáncer de esta época, desde el punto de vista de lo que es el Data Black Market y el ofrecimiento de datos. Permite esconderse detrás de de una arroba y ocultar su teléfono. Incluso acaba de sacar una funcionalidad más avanzada que directamente no vincula a un teléfono. De este modo, la justicia no puede avanzar y ver quién está detrás, como posiblemente sí lo podemos hacer con otras plataformas, WhatsApp incluida. Telegram tampoco presta colaboración con la justicia y no informa sobre usuarios o IP».
(36:50) «Los ciberdelincuentes venden en el Data Black Market, es decir por Telegram, interfaces que permiten a chicos de 15 años actuar. Es una suerte de democratización del delito digital. Cualquier persona que no sabía mucho de computación, puede ahora desde su casa y con un tutorial en Youtube, comprar datos en función de filtraciones gravísimas y pueden atacar a terceros. Los cuatro tipos de ataque más importantes que hay en calidad y en cantidad son: el phising, el carding, el ransomware y los troyanos.
(39:50) «El vector de ataque de los troyanos es por medio de páginas clonadas y por emails. Desde nuestra fiscalía, vemos llegar muchas cantidades de víctimas, mucha cantidad de hechos y mucho dinero involucrado. Las penas las subimos a cinco años de mínima, con lo cual los ciberdelincuentes van todos presos. Nicolás comentaba que posiblemente las penas son laxas en los delitos informáticos. Y está el problema de la prescripción. Nuestro criterio es ir siempre por lo máximo. Tenemos un criterio fiscalista. Siempre que se puedan reunir muchos hechos y encadenarlos a diferentes actividades de personas vinculadas, la asociación ilícita es lo que para nosotros juega como figura penal, más allá de las estafas que concurren en forma real».
(49:40) «Luego de haber visto casos concretos de desmantelamientos de bandas delictivas dedicadas al carding, quiero llamar su atención sobre lo más peligroso de todo. Hace falta educación y prevención para reconocer los vectores de contagio. Tengo causas de empresas que han perdido en un solo clic decenas de millones. En los últimos dos meses estamos viendo que estos ataques están vinculados a dos tipos de troyanos, activos en la Argentina actualmente. Son de origen brasileño y el año pasado atacaron la banca española, chilena, mexicana y uruguaya. Es difícil la detección porque las empresas en general no quieren aportar sus servidores o sus máquinas porque piensan que le vamos a revisar cosas por fuera de esta información. Aprovecho ese espacio para clarificar que no es así».
Jorge Martin Vila
(53:00) «Vamos a conversar sobre una de las problemáticas que tiene hoy la Argentina y el mundo. Se trata del ransomware. Sobre un total de 180, la Argentina ocupa el 44° lugar a nivel mundial en cuanto a ataques de ransomware. Pero tenemos a Brasil en el puesto 3. Así que estamos hablando de un alto grado de regionalización. En la fiscalía, trabajamos para intentar detectar esa regionalización y hacer un trabajo en forma conglomerada con cooperación internacional con el resto de los países de Latinoamérica».
(56:10) «El ataque puede provenir de una empresa de software, una empresa de tecnología, o simplemente un emprendedor, que están desarrollando malwares, precisamente pagados por el crimen organizado internacional para regionalizar los ataques. Este no es un dato menor. Es un dato muy importante para entender por qué hay una tal cantidad de ataques en esta región. El ransomware está focalizado en tres pilares fundamentales: económico, político y social. En el primero, su objetivo es de desestabilizar, descentralizar (los rescates son pedidos en criptomonedas) y destruir. El bitcoin es generalmente la criptomoneda preferida para este tipo de ataque porque ofrece el más alto nivel de anonimato».
(59:44) «Uno de los parámetros que se utiliza es precisamente la desestabilización política. También tiene un costado social. Atacando organismos del Estado o bancos, se destruye la confianza. Hablamos de Anses por ejemplo; hablamos de la AFIP. Los usuarios optan por sacar su dinero de. entidad reguladas como los wallets de criptomonedas. No hay que pensar que los ataques solo provienen de la Deep o Darkweb, o por medio de Tor o de alguna app específica. Tanto Telegram como foros de sitios engañosos».
(1:04:10) «Cuando vemos un ransomware estamos viendo el final de un ciclo de ataque. Pero comienza como en la mayoría de los casos con un phishing, por medio de un spam que llega por email. El phising escalar dentro del sistema después va a generar algo que se llama persistencia. La persistencia, dentro de la jerga del especialista en ciberseguridad, es el ciberespionaje. Y esto es mucho peor que el despliegue del ransomware porque obtiene no solamente datos tecnológicos sino datos de comportamiento del usuario. Por lo tanto cuando va a generar el próximo ataque ya aprendió regionalmente como funcionan o cómo funcionamos dentro del país, dentro de la institución. Los ataques son entonces extremadamente eficaces. Cuando vemos por ejemplo el ataque al RENAPER, al Ministerio del Interior, a Migraciones, a la AFIP o a ANSES, no podemos perder de vista que el atacante estuvo alrededor de entre de 100 a 120 días en ese sistema aprendiendo que es lo que sucedía, no solamente con el sistema sino con las personas involucradas en ese sistema».
(1:09:10) «Es importante generar buenas políticas de concientización dentro de las empresas. Lo primero que tenemos que hacer para entender que estos ataques nos van a suceder es ser consciente que nos va a pasar, que el ataque va a ser inminente. Luego, si el ataque tiene éxito es otro tema. Hoy existen herramientas que permiten descargar automáticamente todo el sitio web de la víctima. Se pueden armar phishing totalmente dirigidos.
(1:13:40) «El cibercrimen organizado trabaja en todas las esferas publicitarias y marketineras que existen. Paga patrocinio para estar en los primeros lugares de Google. Una persona desprevenida (entre comillas) acepta lo que se le pide desde tal sitios, porque supone que las empresas invierten mucho dinero para estar en esos lugares. Pero podrían ser sitios falsos, cuyo objetivo es la captación de datos».