Cibercrimen - ciberseguridad

Normativa vigente, privacidad y

protección de datos

1
2.1 Normativa vigente,
privacidad y protección de
datos
A lo largo del presente módulo, se ahondará en conceptos referidos a
la órbita de lo legal, es decir a lo que incumbe a la normativa vigente
en materia de cibercrimen y ciberdelitos. Eso, permitirá conocer el
contexto regional sobre los delitos en internet, las convenciones
internacionales que existen hoy en el mundo, en especial de
cooperación en investigación de este tipo de delitos. Luego, en la
segunda parte, el enfoque estará puesto en los distintos tipos de
violaciones a la privacidad por medio de herramientas jurídicas. En
particular, se trabajará en el reglamento de protección de datos de
personas de Europa que, claramente, tiene su incidencia en los datos
de usuarios que residan en la región de Latinoamérica. Por otra parte,
se sumarán casos de estudio y antecedentes y todo lo que tiene que
ver con espionaje industrial, corporativo, gubernamental, como
objetivos para el robo de datos y la afectación a la privacidad.

2.1.1 Normativa vigente, privacidad y protección

de datos
Aquí comienza la primera unidad, cuyo enfoque son los temas
normativos que si o si deben conocerse sobre la temática estudiada,
también están incluidos los tratados y convenios internacionales que
ayudan a la cooperación internacional entre países o comunidades de
diferentes jurisdicciones.

Contexto normativo

En este apartado, podrán identificarse diferentes ordenamientos

jurídicos relacionados al fenómeno del cibercrimen. En especial, cómo
se adecua dicha temática a las exigencias internacionales en materia
de cooperación internacional.

Al adentrarse en el tema, puede analizarse uno de los casos más

importantes: el de la Ley Nº 1.273, denominada “De la protección de
la información y de los datos” de Colombia. Dicha ley hace mención
sobre los delitos comprendidos dentro de la Cibercriminalidad. Como

2
ejemplo de ello, se puede mencionar algunos tipos penales de su
articulado que son: a) acceso abusivo a un sistema informático; b)
obstaculización ilegítima de sistema informático o red de
telecomunicación; c) interceptación de datos informáticos; d) daño
informático; e) uso de software malicioso; f) violación de datos
personales; g) suplantación de sitios web para capturar datos
personales y agravantes; h) hurto por medios informáticos y
semejantes; i) transferencia no consentida de activos.

Como puede apreciarse en los delitos mencionados dicha normativa

da cuenta de su actualización en comparación a otras legislaciones a
nivel regional, en especial de aquellos países que, si bien adecuaron
su normativa a la Convención de Budapest (2001), no alcanzan a
tipificar a todos los casos.

Puede sumarse otro país a este análisis: México. En este caso, es en

el Código Penal Federal (Piña Libien, 2013) donde se encuentran
tipificados numerosos artículos referidos a la temática. También, se
puede encontrar regulación en el Código Penal para el Distrito Federal
en la parte especial donde se hace mención de hechos relacionados
a la falsificación de documentos de crédito público o vales de canje,
delitos electorales, entre otros.

Otro de los casos en América es el de los Estados Unidos, en donde

se pueden encontrar numerosas leyes referidas a la temática.
Principalmente se cuenta con el Código de los Estados Unidos, en el
título 18 referido a “Procedimiento de crímenes”. También se
encuentra la Ley de fraudes y abusos de computadoras sancionada
en 1986 (CFAA) (Floyd, 2016), sección 1029, en la que se imponen
sanciones que van desde un año a condena de por vida. Por otra
parte, en dicho país se encuentra la Wiretap Act, conocida también
como Título III. Allí se menciona a las infracciones y prohibiciones
referidas a las escuchas telefónicas. En este contexto normativo se
puede mencionar a otras redes de crímenes, que incluyen sus propias
penalidades y multas según las circunstancias en las que el
cibercriminal las haya cometido, que pueden ser: robo de identidad y
sus agravantes, spam, fraude electrónico, interferencia de las
comunicaciones, etc.

Chile cuenta con una ley desactualizada hasta el momento, la Ley Nº

19.223 del año 1993. En ella se tipificaron figuras relativas a la
informática pero es necesaria su actualización. Esto es así, debido a
que Chile adhirió a la Convención de Budapest (2001) y entonces
requiere de una adecuación normativa según lo establecido en la
norma internacional.

3
Por otra parte, Brasil, sanciona la Ley N° 12.7375 en el año 2012; y
fue la primera ley sobre ciberdelincuencia en ese país, y con ella se
realizaron modificaciones en el Código Penal. Entre ellas: el acceso
ilegítimo, la adulteración y la destrucción de datos, la instalación de
programas o virus que introduzcan vulnerabilidades en los sistemas,
entre otras, Además reguló la Ley N° 11.829 (Estatuto de la Niñez, de
2008) que sanciona producción, venta y distribución de pornografía
infantil, como así también la adquisición y tenencia de dicho material,
y la Ley N° 12.735 que tipifica conductas realizadas mediante el uso
de sistemas electrónicos, digital y/o similares, entre otros.

Venezuela posee una ley especial, que data del año 2001, “Ley
especial contra los delitos informáticos” que cuenta con 33 artículos
distribuidos en cinco capítulos. Se analizan en ella no sólo las
sanciones sino que también se especifica definiciones que son muy
importantes para entender de la temática.
En el caso de Argentina, en el año 2008 se sanciona la Ley N° 26.388,
la cual contempla algunos tipos relativos a delitos informáticos. Es
importante destacar que en ese momento no se contemplaron tipos
penales como: la suplantación de identidad, sextorsión, ransomware,
hurto informático, entre otros.

Ahora bien, desde el lado europeo, existen importantes leyes en

materia de delitos informáticos y cibercrimen. Una de ellas se
encuentra en Alemania, en donde el 15 de mayo de 1986 se sancionó
la “Segunda Ley contra la Criminalidad Económica” que modificó el
Código Penal para contemplar ciertos delitos, entre ellos el espionaje
de datos; la estafa informática; la falsificación de datos probatorios; el
uso de documentos falsos; el sabotaje informático; la destrucción de
datos de especial significado por medio de deterioro, inutilización,
eliminación o alteración de un sistema de datos, también allí es
punible la tentativa; la utilización abusiva de cheques o tarjetas de
crédito. Claramente esto marcó un camino en Europa y hacia otros
países de cómo iba la tendencia de conductas prohibidas
relacionadas al cibercrimen.

Otro de los países europeos que también marcó su impronta en

materia legislativa fue Francia, donde el 5 de enero de 1988 se
sancionó la Ley N° 88/19 sobre fraude informático. Dicha ley tipificó:
el acceso fraudulento a un sistema de elaboración de datos; el
sabotaje informático; la destrucción de datos y la falsificación de
documentos digitalizados.

4
En el caso de Portugal, se aprobó la Ley N° 109 en el año 2009 que
le da un marco normativo, en ese país, al fenómeno del cibercrimen.

En otro costado, es importante destacar la Ley Orgánica 10/2015 de

España, modificada en el año 2015, por la Ley orgánica 1/2015 en la
que se hace referencia a algunos tipos penales que se encuentran
relacionados con éste fenómeno criminal. En especial, se menciona a
la seguridad de los sistemas de información, interceptación de
transmisiones electrónicas, producción o facilitación a terceros de
instrumentos para la realización de los delitos, entre otros.

Por último, en el Reino Unido de Gran Bretaña e Irlanda del Norte se

hace referencia a la ley de uso indebido de computadoras (Computer
Misuse Act 1990), sancionada en el año 1990. En esta ley se fijaron,
en el capítulo 18, las sanciones relativas a estas conductas, como así
también las disposiciones para la seguridad del material de
computadoras contra accesos indebidos o no autorizados.

2.1.2 Leyes en países regionales sobre delitos

informáticos

A continuación se sigue con el análisis de la normativa a nivel regional,

dentro del continente americano. Pueden encontrarse los siguientes
países con leyes que tuvieron que ser creadas desde un principio o
actualizadas debido a su adhesión a la Convención de Budapest
(2001).

En este sentido, se mencionan los siguientes países con sus

respectivas leyes:

 Argentina (2008) - Ley N° 26.388.

 Brasil (2012) - Ley N° 12.737.
 Canadá (1985) - Estatutos revisados de Canadá. Capítulo C-46.
 Chile (1993) - Ley N° 19.223.
 Costa Rica (2012) – Ley N° 9.048.
 Colombia (2009) – Ley N° 1.273.
 México (actualizado en 2014) - Código Penal Federal.
 República Dominicana (2007) – Ley N° 53-07.
 Panamá, actualmente se presentó un proyecto ley (558) que
incorpora específicamente delitos dentro del fenómeno del
cibercrimen, pero no obstante ello, existen algunos delitos
identificados y ya tipificados (“Leyes del Derecho sustantivo
relativos a los delitos informáticos”, en OAS, 2018) como acceso

5
 ilícito, interceptación ilícita, interferencia en el sistema,
falsificación informática, fraude informático y pornografía infantil.
 Paraguay (2011) – Ley N° 4.439.
 Perú (2013) – Ley N° 30.096.
 Estados Unidos (1986) – CFAA, sección 1029.

Como se puede observar en los casos anteriores, se seleccionaron

algunos de los países que, en el continente americano, se encuentran
con una legislación actualizada y acorde a las realidades que se
exigen hoy en día. Es importante destacar que varios de los países
mencionados y algunos no mencionados, no adhirieron a la
Convención de Budapest. Para ver con mayor detalle la legislación se
sugiere acceder al informe confeccionado por el REMJA (Reuniones
de Ministros de Justicia u otros Ministros, procuradores, o Fiscales
Generales de las Américas) mediante el siguiente enlace:
http://www.oas.org/juridico/spanish/cyber_nat_leg.htm. Uno de los
argumentos utilizados para no adherirse a la Convención, por ejemplo
por Brasil, es que dicho país entiende que no considera su ingreso a
la Convención debido a que no participó en su creación y que, por otro
lado, el ámbito en el que se debería tratar este tipo de instrumento
internacional es en las Naciones Unidas.

En resumen, en este apartado se tienen en cuenta legislaciones que

se encuentran actualizadas en la temática y que es muy importante
conocer para entender el contexto regional, como es el caso de
América. Sin ir más lejos, puede identificarse que las mayorías de las
leyes de los países mencionados fueron después del año 2008, salvo
casos puntuales como Estados Unidos, Chile o Canadá que devienen
de muchos años anteriores. Se puede inferir que existió un cambio de
paradigma debido a cómo mutaron las conductas de los
cibercriminales en ambientes digitales. Si bien otros países fuera de
la región lo elaboraron previo al año 2000, es importante contar con
sistemas normativos actualizados y, más de un país en la región, lo
ha podido ver. Aún quedan otros países por avanzar, pero es para
destacar el progreso en esta materia de los países mencionados.

2.1.3 La Convención del Cibercrimen de Budapest.

Tratados Internacionales (prueba trasnacional)
Una vez analizadas las distintas legislaciones y contextos normativos
en materia de cibercrimen, es importante revisar el Convenio contra
la ciberdelincuencia que marcó cierto camino en cuanto a diversos
ejes importantes en la presente materia. Pero antes de comenzar a
delinearlos, es importante conocer desde cuando surge este

6
programa que hoy en día tiene adheridos más de 56 países en todo
el mundo.

En noviembre del año 1996, en la Unión Europea, el Comité para los

Problemas Criminales (en sus siglas CDPC) nombra un comité de
expertos encargados en temas de delitos informáticos. Dentro de las
razones de este pronunciamiento, surge un tema importante
relacionado a los grandes desarrollos en el ámbito de la tecnología
que se suscitaban por aquel entonces y que, claramente, influían en
los sectores sociales. Entre esos avances, se encuentra el
almacenamiento, la transmisión de comunicaciones e internet que es
utilizado para fines lícitos pero que en otras pequeñas partes de la
sociedad se usa para fines ilícitos, y allí entran a jugar los delitos en
el ciberespacio. Asimismo, la normativa penal debe adecuarse
constantemente, ya que las conductas varían en forma dinámica, por
lo cual siempre el derecho esta atrás del cibercrimen. En efecto, al
cometerse delitos en el ciberespacio, y en distintas jurisdicciones, era
necesario aunar criterios para formalizar un convenio que organice y
delimite el campo de actuación en este tipo de delitos y, a la vez, que
los países miembros tengan facilidad para el tratamiento de la
evidencia cuando participa más de un país. Otra cuestión a resaltar
fue la de fijar conceptos uniformes para que cada país miembro
comprenda bien la importancia del fenómeno planteado. Y, por último,
fijar un documento que no sea una mera recomendación, sino que sea
de carácter obligatorio, a fin de lograr compromiso por parte de los
adherentes al mismo. De todo el presente contexto, el nuevo comité
fijo temas como prioritarios y estos fueron:

 Realizar un examen sobre casos de delincuencia informática

vinculadas a la tecnología.
 Delimitar las tipologías delictivas que se encuentran en el
ciberespacio.
 Temas de derecho sustantivo, como por ejemplo conceptos,
tipos de responsabilidad, penas o multas.
 El uso transfronterizo de datos y el tratamiento y la aplicabilidad
en entornos digitales.
 Definir la cuestión de jurisdicción y las tecnologías de
información.
 Cooperación internacional en la investigación de este tipo de
delitos.

Una vez que se delimitaron esas cuestiones, se inició la labor de un

proyecto de convenio internacional sobre la ciberdelincuencia que se

7
desarrolló entre los años 1997 y 2001; para junio de éste último año
se reglamentó dicho convenio y entró en vigor en el año 2004.

Una vez que se llegó a la firma y puesta en vigencia, la pregunta es:

¿cuáles fueron las finalidades principales de este proyecto? Fueron
las siguientes:

 Armonización del derecho sustantivo penal de cada jurisdicción

relativas al fenómeno.
 Delimitar las facultades dentro de cada ordenamiento procesal
de cada lugar, en especial los poderes relativos a la
investigación, tratamiento de la evidencia digital obtenida en
diferente jurisdicción y la comisión de hechos en el que se hayan
utilizado sistemas informáticos.
 Fijar un protocolo ágil con el objeto de lograr que la cooperación
internacional, en este tipo de casos, tenga el resultado esperado.

En base a lo anterior, puede observarse como primera medida cuál

fue el motivo o la necesidad de generar un convenio de estas
características. Asimismo, a través de su comité designado, se
evaluaron todas las posibilidades que estuvieran relacionadas al
fenómeno para luego armar la estructura propia de dicho convenio.
Por último, los objetivos marcan el norte de porqué se plasmó dicho
documento y, en otras palabras, lograr armonizar las legislaciones de
cada país, tomar en cuenta una estructura uniforme con el fin de que
cada uno de los miembros integrantes hablen con el mismo lenguaje
jurídico, y que también sepan, de la misma forma, tratar la prueba que
luego será utilizada en el proceso, como soporte que sustenta la
acusación ante el tribunal competente.

Analizado este contexto, es importante delimitar la estructura principal

de esta Convención a través de 3 puntos.

 En el primero de los puntos clave se encuentran, en los primeros

capítulos, la definición de 9 delitos agrupados en 4 categorías.
Los delitos que se definen son: acceso indebido, interceptación
de las comunicaciones sin autorización, daños a datos
informáticos, daños a sistemas informáticos, abuso de sistemas
electrónicos, falsificación a través de medios informáticos,
fraudes informáticos, delitos relacionados a distribución de
material prohibido de menores a través de las redes, afectación
al derecho de autor. De la presente distinción, surgen las cuatro
categorías antes nombradas que se desarrollan a continuación:

8
o Se definen aquellos delitos donde el objetivo a vulnerar fue
la tecnología. Ejemplo de ello puede verse en un caso de
ransomware: se envía a un sin número de personas un
malware y, el mismo, al encontrar un sistema que no se
encuentra actualizado o no tiene un antivirus, lo infecta
cuando bloquea, en todo o en parte, los archivos que
contiene, con el objeto de solicitar una contraprestación. En
el ejemplo el objetivo fue atacar un sistema, es decir que
aquí la tecnología fue tomada como fin de la conducta
desplegada.

o Se definen aquellos delitos en los que la tecnología es un

medio para cometer un fin determinado e ilícito. Pueden
tomarse los delitos comunes. Un ejemplo que se puede ver
es el fraude informático: a través de la tecnología se induce
al error del usuario para que, a través de un mail, y con el
simulacro de ser de un banco, actualice sus datos a través
de un link provisto por el cibercriminal. Luego, cuando el
usuario accede, se ingresa a un sitio montado por el
delincuente informático igual al verdadero, solicitándole
datos sensibles de su tarjeta o cuenta bancaria y, al
proveerlos, se actualiza la página y lo deriva a la web
original del banco. Así se evita despertar sospechas por
parte del usuario/víctima. Como puede apreciarse en el
ejemplo, un caso de fraude informático a través de una
metodología como phishing, induce al error a la víctima a
través de la tecnología para que luego la misma víctima
facilite sus datos y estén disponibles para los
ciberdelincuentes. Es decir que el objetivo en sí fue
aprovechar a la tecnología para obtener datos de la
víctima.

o Otro de los delitos que se definen, son aquellos en los que

se encuentra como conducta la producción de contenido,
es decir, todo lo atinente a la producción, distribución,
comercialización, intercambio, tenencia de material
prohibido de menores a través de la red. En este sentido,
se puede desembocar en casos de distribución de material
de pornografía infantil y, por otro lado, derivar en la
explotación de niños para abuso sexual infantil en redes.

o También se encuentran los delitos en los que se ven

afectados los derechos de propiedad intelectual, es decir,
toda distribución de contenido que se encuentre protegido
bajo derecho de autor. Ejemplo de estos casos pueden

9
 verse con el robo de películas o series de Hollywood, en
los que piratas informáticos posteriormente vendieron o
subieron a un sitio web previo a su lanzamiento oficial.

 El segundo punto clave hace alusión a la armonización de

normas procesales, es decir a cómo deben seguirse
procedimientos para la obtención, recolección y tratamiento de
la evidencia digital, con la salvaguarda de la cadena de custodia,
elemento clave que será de sustento en el juicio. Por otra parte,
se fijan criterios en casos en los que el fiscal o juez pueden
solicitar medidas, y delimitan cada una de ellas, ya que la
afectación a derechos no es la misma. En efecto, se delimita el
alcance de medidas como conservación rápida de datos
informáticos almacenados, conservación y revelación parcial
rápidas de los datos relativos al tráfico; registro y confiscación
de datos informáticos almacenados, la obtención en tiempo real
de datos relativos al tráfico e interceptación de datos relativos al
contenido. Otro de los temas importantes, es con relación a la
jurisdicción según sea el hecho y el bien jurídico afectado en
diferentes jurisdicciones.

 Por otra parte, el tercer punto clave, es relativo a las reglas de

Para mayor estudio cooperación internacional, es decir, en cuanto a la cooperación
del presente para la investigación de este tipo de delitos, la obtención y envío
convenio se sugiere de la evidencia, localización de sospechosos, extradición. Es
analizar su importante resaltar la asistencia en materia de delitos
documento en el
siguiente enlace:
informáticos o de aquellos delitos relacionados con la
https://www.oas.org/j informática. Por otra parte, se suma el acceso transfronterizo a
uridico/english/cyb_p datos informáticos almacenados, que no requiere de asistencia
ry_convenio.pdf mutua y propulsa el establecimiento de una red 24/7 a fin de que,
todos los días y a toda hora, los miembros puedan acceder a
dicha asistencia entre pares.

Como se pudo observar, el Convenio de Budapest sienta bases no

sólo al fijar definiciones uniformes, sino que también fija lineamientos
en materia del derecho sustantivo penal, procesal y las reglas de
cooperación que existen entre los países intervinientes en
investigaciones relacionadas al presente fenómeno.

En este sentido, es muy importante conocer cada uno de los

elementos que la conforman, ya que diversos países de la región
adhirieron al mismo y se requiere estar en la misma sintonía que la
comunidad europea, entre otros países, que la conforman.

10
Por consiguiente, en las figuras a continuación podrán observarse los
países que hoy en día la conforman como miembros y aquellos que
son observadores y/o los que están en proceso de adhesión. En la
Figura 1, se observan los países miembros.

Figura 1: Países miembros de la convención de Budapest (62)

Fuente: Council of Europe, 2018, https://www.coe.int/en/web/cybercrime/parties-observers

En la figura que antecede, se identifican los 62 países miembros que

hoy forman parte del Convenio, y se destacan países de la región
como Argentina, Canadá, Chile, Costa Rica, Panamá, Paraguay,
República Dominicana, Estados Unidos.

Por otro lado, en la Figura 2, se encuentran aquellos países que se

encuentran en proceso.

Figura 2: Países observadores y en proceso de incorporarse a la

convención de Budapest

Fuente: Council of Europe, 2018, https://www.coe.int/en/web/cybercrime/parties-observers

11
En base a la imagen anterior, cabe destacar que, el Congreso de
Colombia aprobó la adhesión al Convenio, por lo cual aún faltan
formalidades, pero se entiende que pasaría a ser el país número 63
dentro de los miembros del mencionado Convenio.

Como punto crítico de este Convenio, la Asociación por los Derechos

Civiles (ADC), en su informe de marzo de 2018 enumera algunas
cuestiones del documento que atentarían contra ciertos derechos,
como por ejemplo a la intimidad, ya que varias de las definiciones
dadas son demasiado ambiguas y dejan muy amplia la interpretación
de dicho concepto. Otro de los casos que se considera que no se
encuentra claro es si el funcionario o magistrado es el encargado de
solicitar conservación o información de los datos de tráfico, se es que
los mismos identifican las comunicaciones que se realizan e incluyen
como datos la ubicación de las comunicaciones, horario, tiempo de
conexión, usuarios intervinientes, entre otros. A su vez, agrega que
otorga amplios poderes a los Estados para que ejerzan actividades de
vigilancia y acceso a datos personales, con lo cual también afectaría
a la privacidad de un sujeto en cuestión. Otro de los temas sumamente
cuestionados es la materia de soberanía y jurisdicción, ya que en caso
de encontrarse una investigación con datos de las partes y que sean
de los Estados miembros, si o si se debe entregar la misma, con lo
cual se plantean ciertos cuidados en cuanto a la entrega de cierta
información sensible de personas. Para mayor interés se sugiere
acceder a dicho informe (https://adcdigital.org.ar/wp-
content/uploads/2018/03/Convencion-Budapest-y-America-
Latina.pdf).

Para concluir con este apartado, se sugiere profundizar la lectura y

estudio del Convenio de Budapest para conocerlo con mayor detalle
y obtener un sólido bagaje del mismo.

2.1.4 Resolución AG/RES 2004 (XXXIV-O/04) de la

Organización de los Estados Americanos (OEA)

Otra de las resoluciones importantes que se encuentra en los estados

americanos, es la Resolución 2004 (XXXIV-0/04). Esta resolución
refiere a la adopción de una estrategia en seguridad cibernética a nivel
interamericano.

Fue aprobada el 8 de junio de 2004, con la intención de generar

recomendaciones para combatir las amenazas a la seguridad
cibernética. El antecedente que marcó dicha resolución fue en la
Conferencia de la OEA (Organización de Estados Americanos) sobre

12
Seguridad Cibernética llevada a cabo en julio de 2003, en la ciudad
de Buenos Aires (Argentina). En dicho evento, se evidenció el grave
aumento de amenazas en el ciberespacio, que atenta a sistemas que
son esenciales para un país, organismos, empresas o usuario final.

Por tal motivo, el CICTE (Comité Interamericano Contra el Terrorismo)

se encomendó la tarea, junto a expertos en la materia, para diseñar
dicho documento. Debía tener en cuenta la urgencia de incrementar
todas las medidas de seguridad que contrarresten posibles ataques
cibernéticos, como así también crear una red de alertas entre los
países miembros a fin de estar actualizado de lo que sucede en la
región.

En base a ello, se consideró importante crear una cultura sobre la

protección de los activos que son parte de las empresas (todo lo
atinente a sistemas, redes), es decir concientizar, a través de los
Estados miembros, de la importancia en cuanto a cómo protegerse o
qué medidas tomar ante un eventual incidente.

En consiguiente, la Resolución consta de 11 artículos que fijan

algunas recomendaciones para los Estados miembros, entre otras se
presentan las siguientes:

 Instar a la implementación a los estados miembros.

 Identificar los grupos o equipos CSIRT (Equipos de Respuesta a
Incidentes de Seguridad en Computadoras) para crear la red de
alerta.
 Incrementar la seguridad cibernética entre los Estados
miembros.

Los mencionados puntos son algunos de los once que se encuentran

fijados en la mencionada resolución y que sirven para que los Estados
miembros de la OEA comiencen a implementar como estrategia
nacional y regional.

En resumen, es importante destacar que la Resolución sirve de

cimiento para el conocimiento acerca de los puntos que cada país, en
la región, debe adoptar a fin de mejorar su seguridad cibernética. Esto
es en base a que, si no se crea una cultura de concientización, el
cibercrimen avanzará y las pérdidas económicas y los problemas que
se generarán serán cada vez mayores y más graves.

13
2.1.5 Otras resoluciones internacionales: Sistema I-24/7
INSYST (Sistema de Control de Acceso a las
Aplicaciones de INTERPOL) de la Organización
Internacional de Policía Criminal (OIPC), MLAT (Tratado
de asistencia jurídica mutua en asuntos penales con el
Gobierno de los Estados Unidos) , entre otras

En este apartado se hará una breve mención de otros convenios de

colaboración que complementan a la tarea de prevención del
cibercrimen.

En primer lugar, se cuenta con el sistema de intercambio de datos de

la organización Interpol, la cual aglutina a todas las policías del
mundo. En este sistema, los países de la región se encuentran
adheridos para intercambiar datos las 24 horas del día, los 365 días
del año. Es decir que si un país de la región se encuentra ante una
investigación relacionada con un cibercriminal, podrá consultar
información de éste o solicitar su captura internacional o paradero a
través de diferentes alertas según sea la gravedad del tema. En
efecto, dentro de la base de datos proporcionada por esta
organización, se puede acceder a información de personas buscadas,
documentos robados o extraviados, motores de vehículos robados,
huellas digitales, ADN de sospechosos, obras de arte, entre otros
objetos.

Como puede apreciarse funciona como una red 24/7 de base de

información que se complementa con la ya vista de la Convención de
Budapest, la cual se utiliza para realizar procedimientos en conjunto
con otras jurisdicciones, el tratamiento de la evidencia digital y el
acceso transfronterizo de datos en otras jurisdicciones.

Luego su cuenta con el MLAT (Tratado de asistencia jurídica mutua

en asuntos penales con el Gobierno de los Estados Unidos), el cual
es un acuerdo entre Estados Unidos y la República Argentina, que
permite el intercambio de información entre ambos países. Como se
sabe, muchos de los países de la región mantienen estos tipos de
acuerdos bilaterales con Estados Unidos a los fines de lograr agilizar
procesos para cada país firmante.

Otras de las Convenciones a nombrar y que complementa la tarea de

prevención en el fenómeno del cibercrimen, es la Convención de
Palermo (2004), también llamada “Convención de las Naciones
Unidas contra la delincuencia organizada trasnacional y sus

14
protocolos”. En especial, busca trabajar por el avance de la
delincuencia que atraviesa las fronteras en todo el mundo. En efecto,
si se analiza dicho argumento actualmente se considerará de suma
importancia la continuación del trabajo en ese sentido ya que con el
avance de internet y la tecnología, en la actualidad diversas
organizaciones y cibercriminales cometen delitos en una parte del
mundo diferente del domicilio de la víctima, sin nunca haber estado
allí.

Otro de los temas importantes de dicha Convención, es que establece

definiciones importantes para identificar, luego, cada fenómeno.
Asimismo, establece criterios en cuanto a la penalización de la
corrupción, medidas para combatir el blanqueo de dinero y
cooperación internacional. Por otro lado, para el caso de delitos
relacionados a trata de personas, especialmente de mujeres y niños,
se encuentra en el Anexo II lo relativo a un protocolo para prevenir,
reprimir y sancionar este tipo de conductas. En este sentido, se
encuentra muy ligado a la explotación sexual de niños y de
pornografía infantil, ya que el comercio y la venta de imágenes
aumenta cada vez más.

Como se ve, dicho documento fue muy importante para sentar las
bases a los países miembros, no sólo en cuanto a la prevención de
grupos criminales sino también en lo relacionado a la prevención de
delitos contra niños vulnerables, donde grupos o personas se
aprovechan de ellos para sacar provecho económico.

Por otra parte, el Convenio del Consejo de Europa para la protección

de los niños contra la explotación y el abuso sexual, también conocido
como Convenio de Lanzarote (2010) es un tratado multilateral en el
que los Estados lograron convenir acerca de la criminalización de
ciertas conductas relacionadas al abuso sexual contra niños, la
prostitución y pornografía infantil. Asimismo, se fijan medidas
tendientes a prevenir estas conductas, ya sea con educación,
vigilancia, entre otras. Dicho Convenio entró en vigor el 01 de julio de
2010 y se lo conoce como Convenio de Lanzarote, debido a que fue
firmado por sus miembros en la ciudad de Lanzarote, en el mes de
octubre de 2007.

Por último, se encuentra uno de los Convenios que lleva muchos años
y que es el de la Convención sobre los Derechos del Niño (1990). El
mismo se enfocó sobre la igualdad de derechos de los niños con
relación a los adultos, como así también a la protección de los
menores frente a conductas que vulneren o menoscaben su
integridad. Esto último hace alusión al Protocolo facultativo de dicha

15
convención relativo a la venta de niños, prostitución infantil y la
utilización de niños en la pornografía infantil (Resolución
A/RES/54/263, 2000).

16
2.2 Violaciones a la
privacidad mediante
nuevas tecnologías y
protección de datos
A partir de aquí se estudiará todo sobre el tema de la privacidad,
intimidad y la seguridad. ¿Cómo se protegen hoy los datos?, ¿con qué
legislación se cuenta a nivel regional y en el mundo? En especial se
verán casos que se encuentren relacionados al espionaje industrial,
corporativo, gubernamental y cómo incide internet en la protección de
la información.

2.2.1 La nueva privacidad. El equilibrio entre la

privacidad y la seguridad

Para comenzar a hablar de la privacidad, hay que hablar de una nueva

privacidad (como usuarios) que se vive en la actualidad. Pero para
entender un poco el fenómeno, nos deberíamos remontar al año 1949
con el libro del escritor británico George Orwell y su obra “1984” en la
que hablaba de la privacidad y la autonomía. Dicho escritor imaginó
un futuro en el que la privacidad fue castigada por un estado totalitario
que usó espías, vigilancia por video, control sobre los medios de
comunicación para mantener el poder. En esos tiempos, se condecía
con ese momento histórico. Ahora bien, si se lo traslada a la
actualidad (más allá del estado totalitario) la privacidad se ve afectada
en, casi, su totalidad. Es decir que al ir a un caso puntual, por ejemplo,
de ingresar a una aplicación, ya de por si se entiende que ha aceptado
sobre el conocimiento de nuestros datos, es decir la localización, o en
el caso del envío de un mail, se sabe sobre los detalles de la
conversación, o al tomar una fotografía se sabe sobre las expresiones
y microexpresiones de nuestros estados anímicos o del lugar de
donde se obtuvo esa imagen. Con este panorama, comúnmente se
escucha la típica expresión: “yo no tengo nada para ocultar”; esa
expresión constituye el principio de la pérdida de privacidad. A esta
altura, es importante ir al punto de quiebre de todo este problema que
es entender el concepto de privacidad.

17
Como primera medida se recurre a la definición de privacidad según
la Real Academia Española que refiere: “1. f. Cualidad de privado.”, ó
“2. f. Ámbito de la vida privada que se tiene derecho a proteger de
cualquier intromisión” (Real Academia Española, s.f.,
http://dle.rae.es/srv/search?m=30&w=privacidad).

Ahora, una vez que conocida su definición, puede decirse que dicha
palabra, a veces, peca por quedarse corta en su alcance. Entender
dicha acepción requiere englobar no sólo lo que se trata de proteger
u ocultar del hogar o la vida privada, sino también comprende la
autodeterminación, la autonomía y la integridad. Por otra parte, este
concepto, asociado a un derecho personalísimo, cambia de
paradigma. Hoy en día, ya que no es el derecho a proteger lo que
pasa en su casa, para que otros no puedan saber qué hace una
persona o deja de hacer; sino que es un derecho de la gente de
controlar qué detalles de su vida cotidiana se encuentran dentro de su
ámbito de custodia (es decir, dentro de un lugar cerrado sin acceso
por otros) y qué se filtra hacia el exterior, en especial a través de
internet. En esta línea de pensamiento, cabe tener presente que el rol
de la tecnología en la privacidad hoy en día es dramático: video
cámaras instaladas por seguridad en nuestros domicilios pueden ser
la peor arma que tengamos contra nosotros mismos frente a la
sociedad ya que si no se encuentran configuradas adecuadamente
millones de personas pueden ver, en cualquier momento, lo que se
hace y lo que no hace a través de internet. A esto, se le suma el
almacenamiento de información constante de las personas,
comunicaciones personales, entre otros. Desde el lado del usuario,
muchos prefieren disfrutar de beneficios a costa de renunciar a algún
grado de privacidad, ya que en todo momento deben entregarse datos
como contrapartida. Es decir que mientras algunos renuncian, otros
hacen alusión a que la información le pertenece y que por ese motivo
nadie puede hacer uso de ella si tiene acceso. En referencia a este
pensamiento, John Ford (1995), vicepresidente de la compañía
Equifax refiere “Otros argumentarían que no es tu información, es
información sobre ti." (Garfinkel, S, 2000, URL:
https://goo.gl/yWfFdN). Claramente es una cuestión de no acabar,
pero es importante dejar plasmado para conocer cómo se identifica la
nueva privacidad en estos tiempos.

Desde el lado del cibercrimen, la privacidad juega un doble rol: por un

lado, se tiene a los cibercriminales que se aprovechan de los
descuidos del usuario que se originan al renunciar a proteger su
privacidad, por lograr obtener un beneficio de alguna aplicación o
empresa en ese momento, para satisfacción personal; mientras que,
por el otro lado, tiene a las fuerzas de la ley, que buscan investigar

18
causas relacionadas al cibercrimen y, que en muchos de los casos,
se ven cuestionadas por la afectación a la privacidad. En este último
caso, se agravó dicho reclamo, luego de las revelaciones de Edward
Snowden sobre programas de vigilancia electrónica. El motivo
principal de dicho cuestionamiento fue el límite en cuanto al uso de
herramientas tecnológicas que puedan afectar la privacidad de los
usuarios, especialmente en los que implican una recolección masiva
de datos. No debe olvidarse que, al hablar de afectación a la
privacidad, deben citarse tres tratados internacionales que
actualmente amparan dicho derecho a nivel mundial y regional, estos
son: el Pacto Internacional de Derechos Civiles y Políticos (PIDCP)
con su art. 17, que data del año 1986, el Convenio Europeo de
Derechos Humanos (CEDH) que data del año 2010 y la Declaración
Universal de Derechos Humanos (DUDH) con su art. 12 que data de
1948. En estos convenios, se define cómo se interpreta el derecho a
la privacidad en la era digital.

A lo largo de la historia el concepto de privacidad fue materia de

análisis en varios tribunales del mundo. En especial en Estados
Unidos, al comienzo de los años ´60 y en adelante con la teoría de la
expectativa de privacidad y si se afectaba la garantía de la Cuarta
Enmienda que protege a los ciudadanos frente a registros y requisas
arbitrarios o injustificados. A finales del año 1967, en el caso Katz v.
United States, el tribunal entendió que sólo existe una zona de
privacidad protegida por la Cuarta Enmienda si la persona actuó
conforme a una real expectativa de privacidad y si a tal expectativa la
sociedad la encuentra preparada para contemplarla como razonable
(Justia, s.f.,
https://supreme.justia.com/cases/federal/us/389/347/#tab-opinion-
1946919). El ejemplo citado por el Tribunal Supremo en el caso Terry
v. Ohio fue que no se viola la cuarta enmienda cuando un personal
policial arresta a un sujeto y realiza el procedimiento de rigor,
registrándolo, si tiene sospecha razonable que cometió un ilícito o
está por cometerlo. Por lo cual en este caso, la Corte entiende que la
conducta de la policía tenía límites temporales, geográficos claros en
relación a un determinado objetivo. Sin embargo, al evaluar la
expectativa razonable de privacidad va a depender también de otros
factores. Entre ellos, al encontrarse en la era de recolección de
grandes cantidades de datos personales, hace que esta razonabilidad
se complejice aún más, por lo que surge una nueva interpretación a
través de la “Teoría del Mosaico” o en inglés Mosaic Theory
(Davidowitz, 2015) en el año 1983, donde en el caso Dirks v. Sec el
Tribunal Supremo reconoce la legalidad de esta teoría, al aducir que
los analistas o investigadores obtienen fragmentos de información de
un objetivo y luego son utilizados esos fragmentos para crear un

19
mosaico de información utilizada para valorar a todo ese objetivo
investigado. Pero, en concreto, ¿qué se entiende con esta teoría?
Puede decirse que se busca lograr un enfoque acumulativo de la
evaluación de la recopilación de datos. Es decir que, con esta teoría,
las búsquedas se analizan como un proceso colectivo de evidencias
más que como la evidencia de forma individual. En base a este
enfoque, se observa de manera integral cada una de las partes (datos
de todo tipo) que forman el mosaico (información del objetivo). Así,
con el tiempo, se pueden identificar patrones de conductas, hábitos,
relaciones, etc. En otras palabras, se habla de una vigilancia
compuesta o masiva. Dicha teoría fue extraída del método de
investigación que llevaban a cabo analistas de seguridad para obtener
información sobre una compañía, ya que envuelve un colectivo de
piezas de información con el fin de determinar el valor oculto de una
compañía y permite hacer recomendaciones para los clientes
apoyados en esa información.

Otro de los casos más recientes, fue el de Timothy Carpenter (Diario

Jornada, 2018), en donde se lo investigaba por hechos ocurridos en
el año 2011. El punto es que los investigadores se valieron de
información provista por los prestadores de servicio de telefonía, por
un período de 127 días. Luego, al cruzar todos los datos de tráfico (es
decir de ubicación a través de las torres de celulares) se pudo
determinar que el sospechado se encontraba en inmediaciones a las
distintas escenas del crimen. En consecuencia, fue condenado por el
tribunal valiéndose de esa prueba. No obstante, y a posteriori, el
Tribunal Supremo de los Estados Unidos entendió que tal recopilación
de información (de la ubicación del móvil del investigado) se
encuentra amparada en la Cuarta Enmienda, es decir que los datos
también se encuentran en el ámbito de custodia, por lo cual se
requiere no sólo de una orden judicial (situación que se dio en este
caso), sino también de demostrar que existe una “causa probable”
para considerar que esa persona es autora del ilícito investigado. En
este último punto, si se remonta al primer caso (Katz), se analizó
puntualmente sobre la pérdida de expectativa de privacidad del
condenado. En esta línea, en el caso Carpenter, el juez de primera
instancia y el de apelaciones, entendieron que el acusado no gozaba
de la expectativa razonable de privacidad en relación con los datos
obtenidos de las ubicaciones de las torres de celulares, ya que
refirieron que él había perdido esa expectativa por haber compartido
esa información (datos de celdas) con su prestador de telefonía. De
esta manera, se busca dar un límite en cuanto a la recolección de
datos en causas penales, al lograr que se justifique aún más el
pedido, con el argumento de una “causa probable” y que no afecte al
derecho a la privacidad de la persona sometida a investigación, en

20
 especial, cuando se hace mención a la Cuarta Enmienda digital,
donde también se protegen los datos (huellas) que cada usuario deja
en su tráfico de conexiones.

2.2.2 GDPR (Guía del Reglamento General de

Protección de Datos) y su influencia en el mundo
sobre protección de datos

Analizado el concepto de privacidad y todo lo que engloba en este

nuevo paradigma con el fenómeno del cibercrimen, es hora de
estudiar el reglamento europeo de protección de datos personales (en
el siguiente enlace se puede acceder:
https://www.aepd.es/media/guias/guia-rgpd-para-responsables-de-
tratamiento.pdf), identificada con sus siglas GDPR.

En este contexto, es importante conocer su origen, su propósito y qué

deben cumplir las empresas con el fin de lograr mayor protección del
usuario y sus datos.

Dicho reglamento surgió luego de años de reclamo de los usuarios a

las empresas en cuanto al tratamiento de datos, lo que hizo que la
Unión Europea considere que los usuarios tengan mayor control de
sus datos personales, debido a que multinacionales (como Facebook,
Se recomienda entre otras) intercambian información sin que el mismo usuario
analizar con mayor conozca qué tipo de datos comparte. Tal situación se ha visto con el
detalle dicho caso de Cambridge Analytica (se sugiere la lectura de “5 claves para
reglamento, ya que entender el escándalo de Cambridge Analytica que hizo que
es el modelo que se
sigue en el resto de Facebook perdiera US$37.000 millones en un día”, de BBC,
los países: https://www.bbc.com/mundo/noticias-43472797), en el que millones
de datos de usuarios provistos por Facebook fueron utilizados sin su
https://grupogaratu.c autorización para ser analizados y, luego, se realizaron campañas de
om/wp- desinformación. Como este ejemplo existieron varios a lo largo de los
content/uploads/site
s/4/2018/04/whitepa últimos años, como el caso del “derecho al olvido” que obligó a Google
per-Nuevo- a permitir que cualquier usuario solicitara eliminar datos que no
reglamento- considere del buscador.
Protecci%C3%B3n-
de-Datos-UE- Por otra parte, con la implementación de este reglamento, las
2018.pdf
empresas podrán trabajar sobre un marco legal bien delimitado, y los
datos personales de cada usuario serán tratados de una manera
adecuada.

Cabe recordar que este documento entró en vigor el 25 de mayo del

año 2016 y fue de aplicación obligatoria desde el 25 de mayo del año
2018 para toda la Unión Europea.

21
Se definen a los datos personales como aquellos que identifican al
sujeto de datos. Una vez que se conoce el concepto, se analiza cómo
fue organizada su estructura, en donde se encuentran, por un lado,
las bases de legitimación para el tratamiento de datos, el tema de la
transparencia e información a los interesados, los derechos
implicados (se encuentran algunos como el derecho al olvido, el
derecho de acceso, portabilidad, entre otros). Luego comienza la
parte de las relaciones de los responsables y encargados de datos,
las medidas de responsabilidad activa, transferencias internacionales,
tratamiento de datos de menores, entre otros.

Como puede observarse, en cada caso se delimita su campo de

actuación y las responsabilidades y deberes que se deben contar.

En razón de ello, es importante destacar a quien le recaen las mismas,

por lo que puede decirse que recaen a toda organización que cumpla
con las siguientes características:

 Toda organización cuya presencia física se encuentre fijada en

algún país de la Comunidad Europea.
 Toda organización que, si bien puede que no se encuentre en
territorio europeo, pero realiza tratamiento de datos de
individuos que residen en la Unión Europea.
 Toda organización que apoye su trabajo en terceros, y que éstos
almacenen información sobre individuos que residan en la Unión
Europea.

Por otra parte, se hace distinción de quién es controlador de datos y

quien es procesador de datos de individuos residentes en la Unión
Europea. Si se habla de controlador, se hace referencia a aquel
organismo público o privado que fija cómo y por qué se procesan los
datos. Estos deberán ser transparentes durante todo el proceso de
contralor y deberán estar destinados al fin propuesto. Mientras que,
en el caso del procesador, es aquel organismo que, como lo dice la
palabra, procesa los datos personales de cada usuario. En este último
caso puede ser cualquier empresa, incluso tecnológica. Por otra parte,
no es necesario que dichos organismos se encuentren en jurisdicción
europea.

Otra de las cuestiones a especificar es quién es el que autoriza a

procesar los datos, por lo que, en este caso, es el individuo el
propietario de éstos y el reglamento lo toma como “sujeto de datos” y
será quien autorizará, explícitamente, para que sus datos sean
almacenados y procesados por las empresas que lo requieran. Cada

22
empresa debe tener un registro de ese consentimiento, por lo que el
sujeto de datos puede solicitar, en cualquier momento, que sean
eliminados o modificados. En ello también se incluye la portabilidad y
el hecho de que los datos que las empresas proporcionan al usuario
deben ser en formato legible y de fácil descarga. Uno de los casos
que puede llevarse a la práctica es el del perfil de Facebook: puede
solicitarse el propio historial y bajarlo en un archivo comprimido (.zip)
para tener conocimiento sobre todo el propio contenido que se
compartió en esa red social.

Si la empresa que se maneja datos de usuarios incumple con este

reglamento se le imponen sanciones muy altas, que pueden llegar
hasta el 4% del volumen total del negocio del ejercicio anterior o
sumas que podrían ascender a los 20 millones de Euros (Grupo
Garatu, 2018).

2.2.3 Casos de estudio y antecedentes. Otras

legislaciones

A lo largo de la historia se vieron reflejados casos en los que el robo

de información fue relevante y marcó grandes pérdidas a empresas,
gobiernos y usuarios. Es por ello que, diferentes organismos
internacionales como Estados fijaron sus lineamientos normativos. Si
bien se analizó el nuevo reglamento europeo en materia de protección
de datos, es menester destacar leyes de otros países que conviven y
buscan proteger los derechos de los usuarios.

Como primera medida, puede hacerse mención de varios hechos que

marcaron una gran fuga de datos que, cada vez más, afecta y genera
pérdidas millonarias. Un hecho que se puede analizar es el de la firma
de seguridad Gemini Advisory, que en abril del 2018 fue hackeada y
se le robaron 5 millones de tarjetas de crédito y débito que luego
fueron ofertadas para su venta. Otro de los casos, ocurrido en junio
de 2018, fue contra el diario The Sacramento Bee en California
(Estados Unidos). Allí la fuga de información fue de 19.5 millones de
datos guardados de clientes, suscriptores, entre otros. Uno de los
hechos más conocidos es el de Facebook, sucedido en el mes de
marzo de 2018, que sufrió el escándalo mundial con Cambrigde
analytica, el cual le generó una pérdida de, al menos, 87 millones de
datos guardados.

Como puede verse, en todos los casos, el principal riesgo de pérdida

de información fue producto de ciberataques, que cada vez se
acrecientan más.

23
En base a lo anterior, se abordan las distintas normativas en materia
de protección de datos. Para empezar, es necesario mencionar al art.
12 de la Declaración Universal de Derechos Humanos que refiere
sobre la protección de datos personales.

Suecia, fue una de las primeras naciones en sancionar su ley de

protección de datos personales en 1973, todo un avance para esa
época, al igual que Alemania y Estados Unidos con la Privacy Act.

En Latinoamérica este tipo de normativas surgieron, a partir del año

1997, con la aplicación en Brasil, luego Chile, Argentina, Paraguay,
Panamá, Uruguay, Colombia, Perú y México, el último, en el año 2012.
En este último caso, la ley mexicana adoptó lineamientos muy
parecidos a los que se tomaron para el reglamento europeo.

Otros de los países a destacar es Rusia, que sancionó su ley de

protección de datos en 2006 y la actualizó en el año 2015. En ella fija
particularidades, como la obligación de las compañías nacionales y
extranjeras a guardar información de sus ciudadanos en servidores
de ese país.

Una de las legislaciones más controvertidas que surgió en materia de

protección de datos es la del estado de California (Estados Unidos)
que en el 2018 fue llamada “Acta de Privacidad del Consumidor” y que
entrará en vigor desde el año 2020 (Mathews y Bowman, 2018). En
esta legislación se otorga a los usuarios mayor protección de sus
datos por parte de compañías de tecnología. También se le da a los
usuarios la posibilidad de prohibir la venta de sus datos o, en el caso
de los menores de 16 años, pueden optar entre permitir o no
recolectar su información.

2.2.4 El espionaje individual, corporativo y

gubernamental. Una mirada desde el internet de las
cosas

Es sabido que la guerra comercial existe en la actualidad y no puede

desconocerse. Pero también, es importante saber qué medios se
utilizan para captar información de los usuarios y empresas, con el fin
de lograr hacerse de la propiedad intelectual, o sea datos que tienen
valor.

Este apartado se enfocará, no en conceptos como espionaje, sino en

las formas en que los ciberdelicuentes obtienen información para la
venta y ganar dinero.

24
Una de las herramientas usadas hoy en día es el internet de las cosas,
es decir, cualquier dispositivo conectado a la red de redes y que
genera datos. Es decir que, si se tiene la heladera conectada a
internet, se brindará información a terceros para que conozcan los
gustos y conductas del usuario dueño de la heladera, y así los terceros
sabrán que venderle. Otro caso es el de los videos juegos: el
aficionado al juego online también es pasible de sufrir ataques o robo
de información. Una de las formas conocidas es con malware ocultos
en los juegos para su instalación, es decir, que los ciberdelincuentes
preparan juegos populares a fin de distribuir de forma masiva malware
y robar datos sensibles, credenciales, etc. También de esta manera
se intenta atacar a los desarrolladores de video juegos que cumplen
un rol muy importante en la cadena, no sólo por obtener datos
sensibles de los últimos proyectos que van a salir, sino que pueden
infectar su software y luego con su venta se lograría un alcance
masivo.

Ahora, la pregunta es: ¿qué tipo de información se puede obtener de

un aficionado? La respuesta es información confidencial.

Pueden mencionarse dos tipologías de espionaje y de robo masivo de

información: 1) a través del uso de botnets con el fin de controlar
dispositivos conectados a internet y cumplir determinada orden
enviada por cibercriminales o Estados; y 2) a través de la venta de
equipos infectados con malware con el objeto de tener el control de
usuarios, naciones, información, etc. Uno de los casos conocidos
brindados por la empresa Karspesky, es del malware Hajime
(Goldman, 2017) que actúa contra dispositivos (como cámaras web,
televisores, impresoras, routers) que se encuentran conectados
permanentemente a internet. Este tipo de ataques pueden tener
variados propósitos, en especial, pueden lograr que dispositivos
instalados en un mismo lugar, trabajen de manera conjunta sin que
los dueños del lugar sepan. También se encuentra el malware
conocido como bots Mirai (Fruhlinger, 2018) que en el año 2016 se
infiltró en miles de dispositivos vinculados, al escanear internet en
busca de cámaras de video, fabricadas en China, que no estaban
protegidas y así, logró obtener información sensible. También se
mencionan a LoTroop, otro malware de ataque, la bots Reaper que
explotó vulnerabilidades en el año 2015 sobre dispositivos IoT y
comprometió a millones de registros de salud en Estados Unidos, y al
fabricante ADUPS Technolgy Co. Ltd que brinda actualización de
firmware (se utiliza en más de 900 millones de equipos móviles y
dispositivos IoT) y desviaba, en forma oculta a China, datos privados
de clientes.

25
 Otra situación que se dio a nivel internacional relacionada con este
Es importante fenómeno es el caso de la compañía china Huawei, a la que se le
conocer más cómo prohibió vender sus teléfonos en Estados Unidos. El hecho surge de
China se encuentra un informe del Congreso de los Estados Unidos que da cuenta de que
avanzando en el
dicha empresa tenía alianza con la empresa de Carrier en
robo de información,
Se deja el siguiente comunicaciones AT&T. También alertaba sobre potenciales riesgos a
link para profundizar: la seguridad nacional, debido a que el gobierno chino constantemente
se encuentra deseoso de infiltrarse en cuestiones internas de Estados
https://goo.gl/wwBVg Unidos, en este caso lo haría a través de las redes de
Q
telecomunicaciones. De esta manera, se observa como una compañía
de un país, por exigencias de un gobierno, puede entrometerse en la
soberanía de otro país y obtener información industrial que luego será
beneficiosa para generar más productos a menor precio en los
mercados. Otra de las empresas involucradas fue ZTE y su
prohibición se extendió a Australia, Nueva Zelanda y puesta en
evaluación en Canadá, Alemania, Japón, Corea del Sur, entre otros.

En los casos antes mencionados, se vio un claro avance y marcado

posicionamiento de China en ser agresivo para dominar el internet de
las cosas y captar más información, generar sabotajes informáticos
con claros fines comerciales, etc. Es sabido que el país asiático invirtió
e invierte, en tecnología, muchos billones de dólares para lograr el
poderío a través de dispositivos conectados a internet. Cabe
mencionar, que la mayoría de los fabricantes se encuentran en China,
que no constituye un dato menor: busca acapararse de toda la
información, el nuevo petróleo y que genera poder a los Estados, en
especial al gobierno chino.

26
Referencias
Agencia Española de Protección de Datos (2018). Guía del
Reglamento General de Protección de Datos para responsables de
tratamiento. Recuperado de: https://www.aepd.es/media/guias/guia-
rgpd-para-responsables-de-tratamiento.pdf

AG/RES. 2004. Estrategia de seguridad cibernética. Resolución

(XXXIV-O/04) de la Organización de los Estados Americanos y
Comité Interamericano Contra el Terrorismo (CICTE), Ottawa,
Canadá, 8 de Junio de 2004. Recuperado de:
https://www.sites.oas.org/cyber/Documents/Estrategia-seguridad-
cibernetica-resolucion.pdf

Asociación por los Derechos Civiles (2018). La Convención de

Cibercrimen de Budapest y América Latina. Breve guía acerca de su
impacto en los derechos y garantías de las personas. Volumen 1.
Recuperado de: https://adcdigital.org.ar/wp-
content/uploads/2018/03/Convencion-Budapest-y-America-Latina.pdf

Computer Misuse Act (1990). Gran Bretaña e Irlanda del Norte.

Recuperado de:
https://www.legislation.gov.uk/ukpga/1990/18/pdfs/ukpga_19900018
_en.pdf

Convención de las Naciones Unidas contra la delincuencia

organizada trasnacional y sus protocolos, de las Naciones Unidas,
Nueva York, 2004. Recuperado de:
https://www.unodc.org/documents/treaties/UNTOC/Publications/TOC
%20Convention/TOCebook-s.pdf

Convenio del Consejo de Europa para la Protección de los Niños

contra la Explotación y el Abuso Sexual, Consejo de Europa,
Lanzarote, España, 25 de octubre de 2007. Recuperado de:
https://www.humanium.org/es/convenio-del-consejo-de-europa-para-
la-proteccion-de-los-ninos-contra-la-explotacion-y-el-abuso-sexual/

Convenio Europeo de Derechos Humanos. Consejo de Europa,

Roma, Italia, 1 de junio de 2010. Recuperado de:
https://www.echr.coe.int/Documents/Convention_SPA.pdf

Davidowitz, A. S. (2015). Abandoning the “Mosaic Theory” of

Securities Analysis Constitutes Ilegal Insider Trading and What to Do

27
About It. En: Washington University Journal of Law & Policy. Volume
46 p. 281-303. Recuperado de:
https://openscholarship.wustl.edu/cgi/viewcontent.cgi?article=1850&c
ontext=law_journal_law_policy

Declaración Universal de Derechos Humanos. Resolución 217 A

(III) de la Organización de las Naciones Unidas, París, Francia, 10 de
diciembre de 1948. Recuperado de: http://www.un.org/es/universal-
declaration-human-rights/

Diario Jornada (22 de junio de 2018). La Corte de EEUU prohíbe a

la Policía acceder a datos de celulares. Diario Jornada [versión
digital]. Recuperado de:
https://www.diariojornada.com.ar/214660/sociedad/la_corte_de_eeu
u_prohibe_a_la_policia_acceder_a_datos_de_celulares/

Floyd, J. (2016). Una guía de leyes en el Cibercrimen. Recuperado

de: https://www.johntfloyd.com/guide-cyber-crime-laws/

Fruhlinger, J. (2018). The Mirai botnet explained: How teen

scammers and CCTV cameras almost brought down the internet.
Recuperado de:
https://www.csoonline.com/article/3258748/security/the-mirai-botnet-
explained-how-teen-scammers-and-cctv-cameras-almost-brought-
down-the-internet.html

Garfinkel, S. (2000). Database Nation: The Death of Privacy in the

21st Century. Recuperado de:
https://books.google.com.ar/books?id=Mji4KPEqV3AC&pg=PA207&l
pg=PA207&dq=John+Ford+%2B+equifax+%2B+Others+would+argu
e+that+it%27s+not+your+information,+it%27s+information+about+yo
u.&source=bl&ots=eJPbxN41s_&sig=aP8JyhgyFXMBKDvqw7BLybv
2wXU&hl=es-
419&sa=X&ved=2ahUKEwien4_MwvDfAhWBE5AKHbzjDn0Q6AEw
AXoECAgQAQ#v=onepage&q=John%20Ford%20%2B%20equifax%
20%2B%20Others%20would%20argue%20that%20it's%20not%20y
our%20information%2C%20it's%20information%20about%20you.&f=
false

Goldman, J. (2017). Hajime malware infects tens of thousands of IoT

devices. Recuperado de:
https://www.esecurityplanet.com/malware/hajime-malware-
increasingly-targets-iot-devices.html

28
Grupo Garatu (2018). Reglamento General de Protección de datos.
Recuperado de: https://grupogaratu.com/wp-
content/uploads/sites/4/2018/04/whitepaper-Nuevo-reglamento-
Protecci%C3%B3n-de-Datos-UE-2018.pdf

INTERPOL (2018). Intercambio de datos. Recuperado de:

https://www.interpol.int/es/INTERPOL-expertise/Data-exchange/I-24-
7

Justia (s.f.). Katz v. United States, 389 U.S. 347 (1967). Recuperado
de: https://supreme.justia.com/cases/federal/us/389/347/

Ley Especial contra los Delitos Informáticos (2001). Asamblea

Nacional de la República Bolivariana de Venezuela. Recuperado de:
https://www.wipo.int/edocs/lexdocs/laws/es/ve/ve041es.pdf

Ley N° 53-07 (2007). Ley 53-07 sobre crímenes y delitos de alta

tecnología. Congreso Nacional de la República Dominicana.
Recuperado de:
https://www.oas.org/juridico/PDFs/repdom_ley5307.pdf

Ley N° 1.273 (2009). De la protección de la información y de los datos.

Congreso de la República de Colombia. Recuperado de:
https://www.mintic.gov.co/portal/604/articles-3705_documento.pdf

Ley N° 4.439 (2011). Ley contra los delitos informáticos. Congreso de

la Nación paraguaya. Recuperado de: http://fiadi.org/wp-
content/uploads/2017/10/LEY-4439-DELITOS-INFORMATICOS.pdf

Ley N° 9.048 (2012). Reforma de la Sección VIII, Delitos Informáticos

y Conexos, del Título VII del Código Penal. Asamblea Legislativa de
la República de Costa Rica. Recuperado de:
http://www.pgrweb.go.cr/scij/Busqueda/Normativa/Normas/nrm_texto
_completo.aspx?param1=NRTC&nValor1=1&nValor2=73583&nValor
3=90354&strTipM=TC

Ley N° 11.829 (2008). Estatuto de la Niñez. Honorable Congreso de

Brasil. Recuperada de: http://www.planalto.gov.br/ccivil_03/_ato2007-
2010/2008/lei/l11829.htm

Ley N° 12.737 (2012). Delitos informáticos. Honorable Congreso de

Brasil. Recuperada de:
http://www.ilo.org/dyn/natlex/docs/ELECTRONIC/92275/107374/F-
498498738/BRA92275.pdf

29
Ley Nº 19.223 (1993). Delitos informáticos. Honorable Congreso
Nacional de Chile. Recuperada de:
https://www.leychile.cl/Navegar?idNorma=30590

Ley N° 23.313 (1986). Pacto Internacional de Derechos Civiles y

Políticos. Honorable Congreso de la Nación Argentina. Recuperado
de: http://servicios.infoleg.gob.ar/infolegInternet/anexos/20000-
24999/23782/norma.htm

Ley Nº 24.034 (1991). Tratado de asistencia jurídica mutua en

asuntos penales con el Gobierno de los Estados Unidos. Honorable
Congreso de la Nación Argentina. Recuperado de:
http://www.cooperacion-
penal.gov.ar/userfiles/ASISTENCIA%20EEUU%20_LEY%2024.034_
_0.pdf

Ley N° 26.388 (2008). Modificación al Código Penal. Delitos

Informáticos. Honorable Congreso de la Nación Argentina.
Recuperado de:
http://servicios.infoleg.gob.ar/infolegInternet/anexos/140000-
144999/141790/norma.htm

Ley N° 30.096 (2013). Ley de Delitos Informáticos. Congreso de la

República de Perú. Recuperado de:
http://www.derecho.usmp.edu.pe/cedetec/normas/Ley_Delitos_Infor
maticos_Ley_30096.pdf

Ley Orgánica N° 1/2015 (2015). Modificación al Código Penal. Delitos

Informáticos. Jefatura del Estado – España. Recuperado de:
https://www.boe.es/buscar/pdf/2015/BOE-A-2015-3439-
consolidado.pdf

Mathews, K. J. y Bowman, C. M. (2018). The California Consumer

Privacy Act of 2018. Recuperado de:
https://privacylaw.proskauer.com/2018/07/articles/data-privacy-
laws/the-california-consumer-privacy-act-of-2018/

OAS (2018). Leyes del Derecho sustantivo relativas a los delitos

informáticos. Panamá. Recuperado de:
http://www.oas.org/juridico/spanish/cyb_pan.htm

Piña Libien, H. R. (2013). Los Delitos Informáticos previstos y

sancionados en el Ordenamiento Jurídico Mexicano. Recuperado de:
http://www.ordenjuridico.gob.mx/Congreso/2doCongresoNac/pdf/Pin
aLibien.pdf

30
Real Academia Española (2018). Privacidad. Recuperado de:
http://dle.rae.es/srv/search?m=30&w=privacidad

Res. 44/25/1989. Convención sobre los Derechos del Niño.

Naciones Unidas, 2 de septiembre de 1990. Recuperado de:
https://www.ohchr.org/Documents/ProfessionalInterest/crc_SP.pdf

Resolución A/RES/54/263. Protocolo facultativo de la Convención

sobre los Derechos del Niño relativo a la venta de niños,
prostitución infantil y la utilización de niños en la pornografía
infantil. Naciones Unidas, 2000. Recuperado de:
https://www.observatoriodelainfancia.es/oia/esp/documentos_ficha.a
spx?id=35

31
32