Este artículo fue publicado anteriormente en Foro Jurídico. Consultar aquí.
Presentamos a nuestros lectores la opinión del licenciado Juan Luis Hernández Conde, abogado experto en la protección de activos digitales, quien nos habla sobre las acciones de defensa legal que podemos tomar en caso de ser afectados por algún ciberataque como usuarios de la banca.
¿Cuáles son las medidas legales que puede adoptar un cliente de la banca ante un ciberdelito?
Existen varios caminos que un usuario de servicios financieros puede tomar. Primero, puede iniciar los procedimientos internos en el banco o institución financiera de que se trate con el objetivo de lograr obtener la reparación del daño causado por algún ciberdelito. Las instituciones financieras tienen procedimientos específicos para prevenir que se cause daño a sus cuentahabientes por este tipo de conductas delictivas, especialmente para el caso de fraude o suplantación de identidad.
En caso de que la institución financiera no dé respuesta a la solicitud del cliente, éste siempre tiene a su disposición los procedimientos ventilados ante la Comisión Nacional para la Defensa de los Usuarios de Servicios Financieros (Condusef) presentando las quejas y reclamaciones pertinentes en caso de que considere que algún banco o institución financiera ha actuado ilegal, inepta o negligentemente en materia de seguridad de sus sistemas informáticos.
“EN CASO DE QUE LA INSTITUCIÓN FINANCIERA NO DÉ RESPUESTA A LA SOLICITUD DEL CLIENTE, ÉSTE SIEMPRE TIENE A SU DISPOSICIÓN LOS PROCEDIMIENTOS VENTILADOS ANTE LA CONDUSEF.”
Además, si el actuar ilícito de algún banco o institución financiera causa daños o perjuicios a cualquier usuario, siempre se puede ejercer la acción de responsabilidad civil por hechos ilícitos en la vía civil que corresponda.
En caso de que el usuario no tenga acceso a un abogado especialista, puede acudir a la Condusef y hacer uso de sus servicios en materia de asesoría y protección de usuarios de los servicios financieros.
¿Cuáles son los ataques y/o delitos cibernéticos más frecuentes en México?
Los delitos informáticos más comunes en México son aquellos relacionados con el robo o suplantación de identidad (spoofing), pesquisas de datos (phishing), extorsiones y/o fraudes por internet. Este tipo de delitos se perpetúa gracias a la obtención masiva de datos personales como pueden ser nombres de usuarios, contraseñas, datos fiscales, económicos o bancarios que los propios usuarios entregan voluntariamente a los presuntos delincuentes, quienes usan métodos ingeniosos para hacer creer a los usuarios que están entregando sus datos a empresas legítimas.
En segundo lugar tenemos los ataques de denegación de servicio (conocidos como DDoS), que constituyen en la realización de consultas masivas a servidores que alojan páginas web determinadas, como dichos servidores son incapaces de responder a todas las consultas que se efectúan, la consecuencia es que la página web de que se trate deja de estar disponible para consulta de usuarios legítimos. Si bien este tipo de ataques no constituyen una conducta delictiva en términos de nuestro Código Penal Federal, en diversos países con legislación de ciberseguridad más avanzada dichas actividades son consideradas conductas delictivas.
Dicho delito es contemplado como tal en el Convenio de Budapest sobre ciberdelincuencia. Además, nos encontramos con delitos relacionados con la revelación de secretos tipificados en el artículo 210, 211 y 211 Bis del Código Penal Federal, así como los de acceso ilícito a sistemas informáticos tipificados en el artículo 211 Bis 1 al 211 Bis 7 del mismo ordenamiento, entre otros.
¿Contamos con la estructura legal, apoyo y asesoría necesarias para enfrentar y resolver este tipo de delitos?
En México se han hecho varios avances en temas de ataque a ciberdelitos, nuestro Código Penal Federal contempla algunas conductas delictivas como el robo de secretos o el acceso no autorizado a bases de datos con fines de destrucción de información y algunas autoridades administrativas (por ejemplo, la Comisión Nacional Bancaria y de Valores).
Sin embargo, México enfrenta un gran reto en los próximos años para poder actualizar la legislación en materia de delitos informáticos. Algunos de los retos que México enfrenta son la inclusión de ciertas conductas como tipos penales en la codificación penal, el fortalecimiento de la policía cibernética, así como de los sistemas informáticos de las diversas dependencias federales, locales y municipales.
¿Los abogados y los tribunales de México cuentan con la capacidad técnica y los conocimientos necesarios para enfrentar estos delitos/juicios?
Conforme pasa el tiempo tanto los abogados, como los jueces, magistrados y ministros, empiezan a darse cuenta de lo importante que es conocer el funcionamiento de las herramientas tecnológicas. Sin duda, ya hay profesionistas que han hecho esfuerzos por adentrarse cada vez más en el funcionamiento de las nuevas tecnologías, sin embargo, en México hay mucho por hacer.
Desde mi perspectiva, aún es necesario recorrer una curva de aprendizaje sustancial para que los abogados y jueces en todos los niveles, puedan perfeccionar la práctica del Derecho en el ámbito tecnológico. Hoy en día, es sumamente necesario que los abogados del siglo xxi nos especialicemos en dos cosas: aspectos técnicos y filosofía del Derecho.
Primero, es importante que dominemos los aspectos técnicos de cualquier herramienta tecnológica a través de las cuales se puedan celebrar actos o llevar a cabo hechos jurídicos, ya que es importante que sepamos determinar con precisión quienes son los sujetos de derecho en cuyo patrimonio pueden recaer las consecuencias jurídicas.
En segundo lugar, es de vital importancia releer a filósofos del Derecho como Hans Kelsen o Luis Recasens Siches, para recordar que nuestra labor como juristas es la de interpretar el orden jurídico válido en un tiempo y espacio determinados a los actos o hechos jurídicos celebrados u ocurridos, aun y cuando dichos actos o hechos se celebren o se realicen a través de sofisticadas estructuras tecnológicas.
¿Qué medidas se deben tomar cuando uno es víctima de un ataque cibernético o robo de identidad?
Sin importar si eres una persona física o una persona moral, los expertos en la materia de ciberseguridad siempre recomiendan tener un plan de acción con anterioridad a que ocurra un ciberataque. Este plan debe de contener acciones concretas a implementar de manera preventiva o en caso de que se detecte que se ha sido víctima de dicha vulneración de seguridad, que van desde la aplicación de procesos técnicos hasta la redacción de comunicación a empleados, clientes o al público en general, en el caso de empresas.
Al margen de contar con este plan de acción, dentro del cual se deben de contemplar medidas técnicas para mitigar y prevenir los daños que puedas sufrir (por ejemplo, cambio de contraseñas, inicio de sesiones en redes seguras y mantenimiento y actualización continua de software de protección), es importante tomar las siguientes medidas legales en caso de sufrir algún ataque informático.
Primero, documenta todas las interacciones que tengas con tus atacantes, por ejemplo, en caso de que seas víctima de un ransomware (un tipo de extorsión informática) documenta todas las interacciones que tengas con los presuntos responsables imprimiendo las pantallas en donde se vean claramente las comunicaciones, así como las diferentes circunstancias de tiempo, modo y lugar.
Segundo, consulta a un abogado especialista para que te ayude a determinar la mejor manera de afrontar tu situación. Es posible que puedas iniciar procedimientos civiles para demandar el pago de daño patrimonial o moral, que debas ejercer derechos de autodeterminación informativa para oponerte a que determinadas empresas continúen llevando a cabo el tratamiento de tus datos personales para evitar futuros daños o perjuicios, o formular denuncias ante diversas autoridades, como puede ser la Condusef, en caso de ciberataques a bancos.
Tercero, procura hacer del conocimiento de las autoridades competentes que has sufrido un ataque cibernético formulando la denuncia correspondiente a la brevedad posible, esto te ayudará a tener un documento público que acredite la fecha en que tuviste conocimiento del ataque, lo que te permitirá limitar tu responsabilidad por hechos o actos cometidos o celebrados a través de tus cuentas o aplicativos sin tu consentimiento o en contra de tu voluntad.