A dos años del robo de información de tarjetas de crédito en el Banco de Costa Rica (BCR), por parte del grupo cibercriminal Maze, el caso quedó impune porque la investigación no logró dar con ningún responsable del robo y filtración de datos de clientes de la entidad financiera estatal.
La falta de éxito en la pesquisa no es tema exclusivo de Costa Rica. De hecho, es el patrón predominante en el ámbito internacional una vez que se produce un hackeo de una base de datos, sostuvieron especialistas en derecho informático consultados por La Nación.
En el caso del BCR, la institución presentó la denuncia ante el Organismo de Investigación Judicial (OIJ), a los pocos días de darse la ruptura de la seguridad en los sistemas de la entidad, en mayo del 2020.
La Fiscalía Adjunta de Fraudes y Cibercrimen confirmó a este diario que la denuncia se presentó contra persona ignorada o desconocida por los presuntos delitos de sabotaje informático y extorsión. ”Tras varias diligencias de investigación, la Sección Especializada contra el Cibercrimen del OIJ presentó al Ministerio Público un informe sin indicios, ya que no fue posible identificar a la persona o personas responsables de los hechos”, informó el despacho judicial por escrito.
Por tal razón, la Fiscalía solicitó al Juzgado Penal la desestimación del caso. La petición se acogió el 24 de marzo del 2021.
La investigación a lo interno del BCR tampoco dio frutos. Nunca lograron determinar cómo se dio el robo de datos de números de tarjetas emitidas por la entidad, confirmó Douglas Soto, gerente general del Banco.
“El caso Maze fue un tema que es parte de la realidad que hoy vivimos (...) El Banco lo que ha hecho fuertemente es renovar su plataforma tecnológica y aumentar sus niveles de controles y protocolos de seguridad, porque todo empieza desde la casa, para que no entren en un sistema o página que no conozca. También cambiando constantemente las claves y apegándose a los protocolos (de seguridad informática)”, recalcó el jerarca.
Soto destacó que el fortalecimiento interno también se dio mediante la inversión en sus plataformas, pues anualmente destinan $20 millones en robustecerlas a nivel de servicio y seguridad.
El 21 de mayo del 2020, el grupo cibercriminal Maze publicó datos de tarjetas de crédito de Visa y Mastercard emitidas por el BCR. Pero también hay información de tarjetas de otras entidades financieras. En ese momento, el Banco informó de que el 70% de las tarjetas filtradas estaban inactivas. En el caso de los plásticos activos, el restante 30%, se comunican con el cliente para cambiar la tarjeta inmediatamente.
Casos en aumento
Especialistas en derecho informático explicaron a La Nación que Costa Rica está en una posición débil para enfrentar la ciberdelincuencia internacional porque no cuenta con los recursos humanos y técnicos necesarios para poder identificar o procesar a estos grupos criminales.
“Es sumamente difícil dar con los responsables de ciberataques porque grupos como Conti, Maze o Anonymous cuentan con tecnología de punta para el desarrollo de estos ataques enfocada en impedir su identificación. También porque hay una dispersión geográfica desde donde operan y lo hacen en países no cooperantes, como Rusia o Corea del Norte”, subrayó Mauricio París, especialista en Protección de Datos y Tecnología de la firma de abogados Ecija Legal.
LEA MÁS: ‘Hackeo’ en Aeropost: clientes deben cambiar tarjetas de crédito ante riesgo de uso fraudulento
Para José Adalid Medrano, abogado especialista en delitos Informáticos y Ciberseguridad, la opción del país es obtener ayuda de naciones más desarrolladas como Estados Unidos o países europeos. “Estos delincuentes tienen experiencia en cómo ocultar sus datos y la única forma para lograr una investigación adecuada es la colaboración internacional público-privada”, destacó.
Medrano y París coincidieron en que Costa Rica está cada vez más expuesto a los hackers y la ciberdelincuencia, situación que puede elevarse aún más. La prevención es la vía de protección, recalcaron.
Las denuncias por delitos informáticos en la vía judicial reportan un fuerte incremento en los últimos años, situación que se agudizó a raíz de la pandemia de la covid-19, con el aumento en la cantidad de trámites virtuales, en especial en las entidades financieras.
Al cierre del 2020 se presentaron 8.300 denuncias por casos de sabotaje, fraude o espionaje informático, es decir, cuatro veces más frente al 2016, cuando se tramitaron 2.100 denuncias, según los datos estadísticos de la Dirección de Planificación del Poder Judicial.
La información de la entidad judicial muestra que el incremento en la cantidad de procesos ya tiene un efecto en el alza del tiempo promedio de las investigaciones. A marzo pasado, cada caso tardaba poco más de siete meses en resolverse. Mientras que, en el mismo periodo del 2020, era de casi cuatro meses.
¿Hay responsabilidad?
Cuando ocurre un ataque informático contra una organización, sea pública o privada, también es una víctima de los actos delictivos. Sin embargo, la empresa puede ser responsable de los daños causados a clientes y usuarios si no contaba con las medidas de seguridad suficientes para el resguardo de los datos.
“Hay una clara responsabilidad si una organización realiza un tratamiento de datos personales por medios inseguros, no invierte en software y hardware adecuados, no forma a su personal en el manejo apropiado de la información y equipos informáticos, y no aplica estándares ni procedimientos para el manejo de la información pues está actuando de forma negligente, pese a ser víctima de un ilícito”, explicó Mauricio París, de Ecija Legal.
El experto comentó que los casos de ciberataques revelados públicamente son muy limitados, pues las compañías no informan de los ataques por un tema reputacional. “Esto ocasiona que en su gran mayoría los casos terminen impunes”, sostuvo.
En los últimos hechos revelados en el país, Hacienda denunció el caso al OIJ. En el caso de Aeropost, la empresa de paquetería no respondió las consultas enviadas por La Nación sobre si presentó una denuncia por la filtración de datos de tarjetas de sus clientes.
El jurista José Adalid Medrano recalcó que las empresas y las instituciones públicas tienen una responsabilidad civil sobre el resguardo de la información de sus usuarios, por lo cual si una persona se siente afectada puede presentar una demanda. “Un responsable de una base de datos debe cumplir con la protección de la información de las personas y tener protocolos de seguridad adecuados”, destacó.
Medrano añadió que cuando se vulnera una base de datos se debe informar a la Agencia de Protección de Datos de los Habitantes (Prodhab) que inicia una investigación para determinar si la situación se dio por negligencia de la organización o la persona.