Jorge Bermúdez González: Fiscal especialista en cibercrimen
Fuente: Diario de Burgos, 20 noviembre 2017
El ponente en el Taller sobre Ciberseguridad y Riesgo Tecnológico que el jueves 23 organiza el ITCL es el fiscal delegado de Criminalidad Informática en Guipúzcoa y un reconocido divulgador y formador de investigadores en este ámbito
"Los gigantes como Twitter y Facebook se comportan como señores feudales al no reconocer la autoridad de los Estados"
El cibercrimen es, sin duda, un fenómeno de nuestro tiempo y una amenaza creciente que afecta a particulares, a empresas y también al día a día de la Justicia. Jorge Bermúdez González, fiscal especialista en esta materia, analizará este jueves en el Instituto Tecnológico de Castilla y León (ITCL) las dificultades a las que se enfrenta un jurista para actuar contra una delincuencia que no conoce fronteras y que, cada vez más, como está ocurriendo con la crisis catalana, se esconde bajo los intereses estratégicos, políticos y económicos más oscuros de los Estados.
"Las empresas están obligadas, bajo pena de fuertes sanciones, a denunciar el cibercrimen"
"La Fiscalía del Estado cuenta con 150 profesionales para atender este problema"
"Las pymes atacadas dependen de la información, o pagan a las mafias o se van al garete"
¿El crecimiento del crimen digital es paralelo a la actividad de los juzgados sobre este tema?
Hay una reforma de la Ley de Enjuiciamiento Criminal que dice que los delitos con autor desconocido están abocados al archivo y no tienen ni que llega al juzgado. Esto ha provocado un artificial descenso de las causas que entran en la mayoría de juzgados de toda España. En el caso del País vasco, donde yo desempeño mi actividad, la Ertzaintza siempre propone alguna solución para tratar de averiguar quién es el responsable de estos he chos. Siempre envía los atestados, aunque muchos acaban archivados… Un robo de una numeración de una tarjeta de crédito por una compra online en Shanghai es prácticamente imposible de perseguir. Pese a ello, el aumento de estos casos es constante y siempre hay una cifra oculta de delitos que no se llega a denunciar, por desconocimiento de las empresas e incluso por vergüenza.
¿Cuáles son los casos más habituales en los que trabaja un fiscal?
La estadística no es muy fiable. El grueso han sido las estafas a través de métodos del phishing o suplantación de identidad, la doble venta, la comercialización de productos que no existen y la venta a través de páginas de anuncios. El segundo gran grupo son los delitos relacionados con la pornografía infantil y hay un tercero que no aflora, y que es el relacionado con la fuga de información confidencial de las empresas, el acceso ilícito a sistemas informáticos y los robos de información. Muchas veces estos delitos se ocultan detrás de un despido disciplinario de un trabajador que acaba en la jurisdicción de lo social.
¿Le preocupa que esta delincuencia crezca por el silencio de las empresas?
Está llamada a aflotar porque hay una directiva sobre ciberseguridad de la Unión Europea y un nuevo reglamento de protección de datos que van a obligar a las empresas, bajo pena de fuertes sanciones, a denunciar este tipo de incidentes.
Esto ocurrirá a partir de mediados del 2018. El principal problema al que nos enfrentamos es que los grandes ataques informáticos que no son delitos de estafa y de pornografía infantil se originan fuera de nuestras fronteras y la cooperación internacional en este campo es bastante deficiente.
¿El Derecho ofrece respuestas rápidas y eficaces a una criminalidad imparable?
Sí. Hay una reforma de la Ley de Enjuiciamiento Criminal que nos ha dotado de numerosas herramientas procesales y el Código Penal está actualizado a las últimas figuras delictivas. El problema es que vivimos en un mundo que en el plano físico está definido por fronteras territoriales e internet se diseñó para trascender esas fronteras. Tienes un grupo de delincuentes informáticos que operan desde países del Este de Europa, estados que niegan cualquier tipo de colaboración porque están sirviendo a sus intereses. Ante esto, poco más se puede hacer que militarizar esta cuestión y convertirla en un tema de ciberdefensa más que de cibercriminatidad.
Los grandes operadores tampoco ayudan…
Hay muchos delitos cuya resolución depende de la colaboración de empresas norteamericanas. Gigantes como Twitter y Facebook se comportan como verdaderos señores feudales que no reconocen la autoridad de un estado soberano como el Reino de España. Ahí tampoco podemos hacer nada… Se acogen a la primera enmienda de la Constitución norteamericana para no facilitar datos a no ser que cursemos una comisión rogatoria, a la que tardan en dar respuesta una media de 2 años y, cuando llega, no sirve para nada porque se han perdido los datos. Esta claro que no es nuestro Derecho el que tiene un problema, deberíamos apostar por una postura más agresiva en el plano Internacional. La barrera de entrada para la delincuencia informática es muy baja, basta con tener un ordenador y los ataques pueden ser desarrollados por cualquier persona que se limite a comprar la herramienta necesaria en las web oscuras.
Pese a estas dificultades evidentes, esta claro que si no se denuncia no se hace visible esta delincuencia.
Por supuesto. Lo mismo que tenemos delincuentes que operan desde el extranjero, también los tenemos aquí. En España también grandes profesionales en el campo de la ciberseguridad.
¿Y en el ámbito de la Justicia? ¿Disponen de personal y herramientas suficientes?
La Unidad de Criminalidad Informática de la Fiscalía del Estado cuenta con más de 150 profesionales que estamos en permanente contacto para consultar cualquier duda, centralizar operaciones a nivel nacional a través de la unidad central que dirige la fiscal de sala del Tribunal Supremo, celebramos reuniones periódicas para unificar criterios y hay muy buena gente en la Fiscalía. Estamos ante un problema que no deja de crecer…
Y más con la genenalización del lnternet de las cosas…
Uno puede temer todas las medidas de seguridad que quiera en su ordenador en su teléfono móvil pero con la nevera o la cafetera conectadas a Internet no tienen esas posibilidades. Son sistemas diseñados para funcionar, no para ser seguros y, por lo tanto, son vulnerables. De hecho, en diciembre de 2015, en uno de los mayores ataques informáticos que se recuerdan, más de la mitad de los dispositivos afectados fueron cámaras, neveras, etc.
¿Echa en falta expertos en ciberseguridad en las empresas?
En este país tenemos la mala costumbre de acordarnos de Santa Bárbara cuando truena. El gasto en seguridad informática siempre se considera superfluo hasta que se tiene un problema. He visto atestados de pequeñas empresas afectados por un ransomware que iban a tener que bajar la persiana porque toda su contabilidad, lista de clientes, agenda y documentación han quedado cifradas y no hay posibilidad de recuperarlas.
¿Hay empresas más vulnerables?
Las pymes. Por ejemplo, las que trabajan con envíos de paquetería y con correos electrónicos. Hay empresas que no tienen presupuesto para actualizar sus servidores y son vulnerables. Todas dependen de esta información para vivir y muchas veces pagan a la mafia o se van al garete…