Armas digitales contra el fraude econ¨®mico

Toda econom¨ªa tiene su lado oscuro. En los primeros registros escritos, milenios atr¨¢s, los babilonios dejaron constancia de sus medidas contra el fraude en el comercio. Desde entonces, la ley y los que la cumplen han estado en perpetua carrera contra aquellos que la vulneran. Hoy, el oc¨¦ano de informaci¨®n en el que nadamos todos es amigo y enemigo en esa batalla. Por un lado, las tecnolog¨ªas de la informaci¨®n permiten hacer planetarias estafas que antes eran exclusivas de los trileros callejeros. Pero por el otro, al igual que en el agua f¨ªsica, en este mar de datos la contaminaci¨®n deja un rastro que puede ser localizado. Y las herramientas de big data y machine learning permiten encontrar ese rastro y castigar a los culpables. Expertos del derecho, la econom¨ªa y el combate al crimen se han dado cita en un desayuno organizado por EL PA?S con el patrocinio de Axesor para hablar de las nuevas sendas de los criminales y defraudadores y de c¨®mo se les est¨¢ combatiendo.

Lo primero es darse cuenta de que el problema es real; por suerte, las soluciones tambi¨¦n. "La ciberseguridad es uno de los riesgos de toda industria en proceso de transformaci¨®n digital, y, desde luego, eso es lo que estamos viviendo en el sector bancario", explica Joan Puig, director de Seguridad de la Informaci¨®n del Banco Sabadell. "Lo que detectamos es que, mientras los entramados societarios son cada vez m¨¢s complejos, las investigaciones mercantiles siguen haci¨¦ndose de forma muy manual", indica Dionisio Torre, director general de Axesor. "Hay herramientas que permiten mostrar, a golpe de clic, todos los caminos, todas las participaciones encadenadas y cruzadas. Hasta ahora, una investigaci¨®n se pon¨ªa a seguir una arista, hasta que llegaba a un punto muerto y se ve¨ªa obligada a empezar de nuevo. Ahora con un motor gr¨¢fico se pueden ver todos los entramados de un vistazo, y todas las l¨ªneas de investigaci¨®n posibles. Es un ahorro de tiempo y recursos incre¨ªble".

En algunos sentidos, Espa?a est¨¢ muy adelantada a sus socios, tanto en Europa como fuera de ella. "La Hacienda P¨²blica espa?ola moderna se cre¨® al tiempo que la gran revoluci¨®n de la inform¨¢tica en los a?os ochenta, por lo que desde siempre ha estado en la vanguardia de la tecnolog¨ªa", apunta Jos¨¦ Ignacio Alemany, socio director del bufete Alemany, Escalona & De Fuentes. "Adem¨¢s, Espa?a fue pionera junto con otros cuatro pa¨ªses en un acuerdo de intercambio autom¨¢tico de informaci¨®n, que ya se ha extendido a muchas jurisdicciones de todo el planeta".

En otras, sin embargo, queda mucho trabajo por hacer. "Hay un auge en Bolsa de la negociaci¨®n algor¨ªtmica y las transacciones de alta frecuencia", explica Helena Prieto, socia de derecho penal de Garrigues. "Son operaciones que se basan en los cambios de un valor en un segundo, que son muy peque?os, pero por volumen se convierten en importantes. Y ah¨ª Espa?a est¨¢ muy mal; solo se han abierto cuatro expedientes en la CNMV. No estamos monitorizando lo que est¨¢ pasando, porque est¨¢ pasando".

Para Antonio L¨®pez Melgarejo, jefe de la Secci¨®n T¨¦cnica de la Unidad Central de Ciberdelincuencia de la Polic¨ªa Nacional, los principales problemas de ciberseguridad que se encuentran las empresas son el ransomware [el software malicioso que bloquea los ordenadores a cambio de un rescate, normalmente en bitcoin] y la captaci¨®n fraudulenta de los correos electr¨®nicos de la propia empresa para propagar estafas.

L¨®pez reconoce que su unidad no puede estar a todo. "Hay que tener en cuenta que la corrupci¨®n acapara gran parte de nuestros recursos", considera. "En lo que se refiere al fraude general estamos m¨¢s centrados en la aplicaci¨®n de la ley que en la prevenci¨®n". Y se?ala: "Ya estamos usando el big data en cosas como la distribuci¨®n de recursos para la seguridad ciudadana".

Material hay. "Una ley de 2010 cre¨® el Fichero de Titularidades Financieras, donde est¨¢n todas y cada una de las aperturas, cancelaciones y modificaciones de cuentas corrientes, cuentas de ahorro, dep¨®sitos a plazo y cuentas de valores, de todos y cada uno de nosotros", indica Prieto. Y la cantidad no har¨¢ sino aumentar. "La biometr¨ªa es un caso interesante", apunta Puig. "No solo se trata de la que conocemos todos, la que incluye los ojos y las huellas dactilares, sino tambi¨¦n es la llamada biometr¨ªa de comportamiento; por ejemplo, la forma en la que escribimos en un teclado. Es algo que no sirve para identificar a las personas pero s¨ª para validar que alguien es quien dice ser".

Pero toda esa informaci¨®n necesita ser procesada lo m¨¢s r¨¢pidamente posible. "Cuando hablamos de sistemas de seguridad digital, si est¨¢n orientados al cliente no puedes tardar m¨¢s de dos o tres segundos", apunta Puig. "La gente que paga una compra o que hace una transferencia no puede ni tiene que esperar m¨¢s de eso para que se apruebe la operaci¨®n. Todo esto requiere una alt¨ªsima inversi¨®n en tecnolog¨ªa". "El factor de la urgencia hace exponencial la dificultad", apunta L¨®pez.

Y el combate al crimen no tiene los recursos para seguir el ritmo de la gigantesca expansi¨®n de la sociedad de los datos. "Hay que tener en cuenta que nuestro mundo se est¨¢ trasladando a lo digital", considera L¨®pez Melgarejo. "En cualquier robo de coches te puedes encontrar una memoria USB, y en muchos casos para resolver un crimen hay que comprobar un perfil de Facebook. En 1995 ¨¦ramos dos o tres investigadores y hoy somos m¨¢s de 400, pero creo que todos los agentes necesitan esta clase de formaci¨®n; somos una organizaci¨®n de m¨¢s de 60.000 personas". No es solo un problema del sector p¨²blico. "Nos vemos y nos deseamos con los profesionales que tenemos; hacen falta miles m¨¢s", considera Carlos S¨¢iz, socio responsable del ¨¢rea de riesgos y compliance de Ecix Group. "Vamos a tener que correr".

La entrada en vigor el pasado 25 de mayo del Reglamento General de Protecci¨®n de Datos (RGPD) aprobado por el Parlamento Europeo ha facilitado mucho las cosas, eliminando la necesidad de comisiones rogatorias en muchos casos. Pero la tecnolog¨ªa va muy por delante de la ley. "En muchos sectores, el vector de impulso es el ¨¦xito, pero en el derecho no: es el consenso, que es mucho m¨¢s lento", se?ala L¨®pez Melgarejo.

"Tecnol¨®gicamente hay muchas cosas que llevan d¨¦cadas pudi¨¦ndose hacer", apunta S¨¢iz. "Un operador de m¨®vil tiene la informaci¨®n si un usuario ha pasado en Espa?a los 183 d¨ªas al a?o que necesita para ser residente en el pa¨ªs", a?ade Puig. "Gracias a la tecnolog¨ªa puede detectarse si una persona ha pasado mala noche, Eso tiene implicaciones en la seguridad y en la salud de las personas", apostilla L¨®pez.

Las consecuencias ¨¦ticas de la gesti¨®n de datos van m¨¢s all¨¢. "Es preocupante c¨®mo se ha desarrollado la tecnolog¨ªa sin ninguna reflexi¨®n sobre sus consecuencias pol¨ªticas, sociales y morales, que van m¨¢s all¨¢ de la privacidad", considera S¨¢iz. "Creo que pecamos un poco de buenistas. En el momento en que cuelgas algo en Internet, tus datos ya est¨¢n en otra parte y eso ya es irreversible".

Y aunque la legislaci¨®n sea europea, la respuesta es nacional, lo que genera otra clase de problemas. "El principio de territorialidad es inaplicable a Internet", apunta L¨®pez. "No hay un ciberderecho, y hace falta", indica S¨¢iz."Lo que quiere el RGPD es que las grandes operadoras estadounidenses funcionen bajo la ley europea, pero si la incumplen en su pa¨ªs de origen, ?qui¨¦n les va a sancionar?" Seg¨²n Prieto, "eso es lo que me hace temerme que de todo el esc¨¢ndalo Cambridge Analytica [la compra de datos de m¨¢s de 80 millones de personas a Facebook para usos pol¨ªticos sin autorizaci¨®n] al final ser¨¢n condenadas tres personas".

Pero, al final, como dijo el juez del Tribunal Supremo estadounidense Louis Brandeis, "la luz del sol es el mejor desinfectante". "Luchamos para que haya una apertura, que podamos acceder a datos no sensibles, como el de n¨²mero de empleados, o resultados financieros que al final acabar¨¢n siendo publicados en el Registro Mercantil a los 18 meses", considera Dionisio Torre. "Porque, en realidad, salvo a las compa?¨ªas que les va mal, ninguna tiene problema en compartir su informaci¨®n".

No solo las empresas privadas son problem¨¢ticas. "Hay tambi¨¦n mucho desconocimiento de la Ley de Reutilizaci¨®n de Datos del Sector P¨²blico", contin¨²a Torre. "Aunque tambi¨¦n hay organismos, como el Catastro, cuya transparencia es mod¨¦lica; salvo algunos datos realmente sensibles, como el nombre de los propietarios, ahora puede encontrarse el n¨²mero de expediente y la calificaci¨®n de cualquier terreno en Espa?a".

Todas estas herramientas son importantes porque, como apunta Alemany, "no nos tenemos que enga?ar: no va a dejar de haber delitos". "Hay que tener en cuenta que territorialidad es soberan¨ªa", prosigue. "Cada pa¨ªs desarrollado tiene su para¨ªso fiscal, su cloaca donde van a parar los fondos que tienen que lavar y esto va a pasar mientras haya pa¨ªses soberanos". "Vamos a ver el surgimiento de para¨ªsos cibern¨¦ticos", confirma L¨®pez.

El responsable policial explica que aunque la tecnolog¨ªa est¨¢ avanzando a marchas forzadas, la principal herramienta de la justicia es la torpeza de los propios criminales. "En una de nuestras ¨²ltimas operaciones contra el blanqueo, conseguimos detener a alguien porque hab¨ªa usado una firma de bitcoin que conoc¨ªamos. Al final se trata de esperar a que alguien cometa un error, pensar que no todos van a ser tan audaces y que nosotros vamos mejorando con el tiempo".

Eso es por lo que, para Torre, una de las m¨¢s importantes contribuciones que puede hacer la empresa privada a la ciberseguridad es "conectar ecosistemas informacionales": que las empresas e instituciones que tengan plena confianza creen sistemas comunes fiables. "Certificar los procesos es algo deseable, porque incentiva la autorregulaci¨®n", considera Alemany. "Las empresas que desean un marchamo de buenas pr¨¢cticas pueden buscarlos por una cuesti¨®n reputacional".

Sin embargo, ahora mismo las empresas que cumplen con la legislaci¨®n no reciben ning¨²n incentivo por hacerlo. "Un c¨®digo de buenas pr¨¢cticas no est¨¢ dentro de la ley", indica Alemany. "Hay que tener en cuenta que la autorregulaci¨®n obliga a desviar muchos recursos del propio negocio", apunta Prieto. "El adherirse a un c¨®digo de buenas pr¨¢cticas podr¨ªa servir como descargo de responsabilidad societaria".

DIONISIO TORRE | Director general de Axesor

¡°Hasta ahora, una investigaci¨®n llegaba a un punto muerto y se ve¨ªa obligada a empezar de nuevo. Ahora con un motor gr¨¢fico se pueden ver todos los entramados de un vistazo (...) Es un ahorro de tiempo y recursos incre¨ªble¡±

JOS? IGNACIO ALEMANY | Socio director de Alemany, Escalona & De Fuentes

¡°La Hacienda P¨²blica espa?ola moderna se cre¨® al tiempo que la gran revoluci¨®n de la inform¨¢tica en los a?os ochenta, por lo que desde siempre ha estado en la vanguardia de la tecnolog¨ªa¡±

HELENA PRIETO | Socia de Derecho Penal de Garrigues

¡°Hay que tener en cuenta que la autorregulaci¨®n obliga a desviar muchos recursos del propio negocio. El adherirse a un c¨®digo de buenas pr¨¢cticas podr¨ªa servir como descargo de responsabilidad societaria¡±.

ANTONIO L?PEZ MELGAREJO | Jefe de la Secci¨®n T¨¦cnica de la Unidad Central de Ciberdelincuencia de la Polic¨ªa Nacional

¡°Las autoridades educativas deber¨ªan tener en cuenta, a la hora de ense?ar a los ni?os el conocimiento del medio, que ese medio en el que viven tambi¨¦n incluye el ciberespacio¡±.

JOAN PUIG | Director de Seguridad de la Informaci¨®n del Banco Sabadell

¡°Un operador de m¨®vil tiene la informaci¨®n si un usuario ha pasado en Espa?a los 183 d¨ªas al a?o que necesita para ser residente en el pa¨ªs¡±

CARLOS S?IZ | Socio responsable del ¨¢rea de riesgos y ¡®compliance¡¯ de Ecix

¡°Es preocupante c¨®mo se ha desarrollado la tecnolog¨ªa sin ninguna reflexi¨®n sobre sus consecuencias pol¨ªticas, sociales y morales, que van m¨¢s all¨¢ de la privacidad¡±