En 2016, 22.4 millones de mexicanos fueron víctimas de ciberdelincuencia, de acuerdo con datos de la firma de seguridad Norton; sin embargo, de esta cifra sólo algunos miles de incidentes se denunciaron.
Entre 2012 y 2015, la división de la policía cibernética de la Policía Federal, recibió reporte de 30,000 casos; de los que instituciones académicas fueron el blanco principal con 39% de los ataques, seguidas de las dependencias de gobierno con 31% y el sector privado en tercer sitio, con 26% de los incidentes, según cifras de dicha división de defensa.
La dependencia indicó que entre 2014 y 2015 las denuncias aumentaron 300%; no obstante, no existe mayor detalle sobre el volumen exacto de las mismas.
Expertos en ciberseguridad afirman, que aunque existen mecanismos para comunicarle a la autoridad si eres víctima de un hackeo, como un número de teléfono, cuenta de Twitter y correo electrónico, la falta de facultades jurídicas de la policía cibernética hace que muchas de las querellas no avancen.
“Lo único que te vuelves es una estadística, puedes levantar una denuncia, pero nadie investiga. No tienes los peritos; no hay manera, por el momento de avanzar, porque no está esto legislado”, dijo Rodrigo Sámano, hacker y director de Intelligence Services Latinamerica en entrevista con Expansión.
Expansión envió un correo electrónico al Centro Nacional de Atención de Atención Ciudadana- quienes canalizan este tipo de denuncias- para levantar una denuncia por ransomware (secuestro vía encriptación de dispositivos electrónicos) a lo que la dependencia contestó, otorgando un folio, bajo el que debía ser enviado un escrito explicando lo sucedido y pruebas que el usuario considere relevantes, para después tener respuesta dependiendo de la evaluación de la autoridad.
Sin embargo, este tipo de modalidades de hackeos, como ransomware o hackeo de sistemas o redes sociales, suelen no proceder pues no implican un robo como tal de información sensible o fraude, casos que sí están catalogados como delitos en México, según explica Sámano.
El también exempleado de la Secretaría de Gobernación explica que lo que hace falta para facultar a la policía cibernética para perseguir este tipo de delitos es personal mejor capacitado y legislación más amplia, pues según Marcos Rosales, director de la policía cibernética, los ministerios públicos no están autorizados para proceder frente a este tipo de acciones.
“Lo que hace falta es legislación y tener el personal capacitado. Porque la gente que tiene ahí deben ser algunos ingenieros en sistemas, y es totalmente distinto como piensa un hacker a un ingeniero, es totalmente lo contrario. Pero lo más importante es legislación”, dijo.
Sámano explicó que en el despacho de informática forense que dirige reciben cientos de casos de personas, que tras ser hackeadas y haber denunciado, buscan una solución más fructífera.
“A nosotros nos llegan siempre después de que ya denunciaron para ver si nosotros podemos hacer algo y resolver. Ellos no hacen nada, te toman los datos, te envían una serie de recomendaciones y hasta ahí llegó, eso es todo”, dijo.
¿Qué sí puedo hacer?
A finales de 2016,
en los cuales un grupo de hackers vulneró diversas cuentas desde las que enviaba, sólo a los contactos femeninos, una invitación a participar en una campaña contra el cáncer de mama, pero debían enviar una “foto de casting” previamente.“En la primera iteración, nos llegaron alrededor de 500 o 600 personas con el problema”, dijo Sámano”, para el directivo, la única vía para responder a las víctimas es con la misma táctica. “Si alguien te hackeó, lo que puedes hacer es hackeándolo a el”.
Sámano explica que, aunque no en todos los casos, es posible rastrear de dónde provienen los ciberataques por dirección IP, y dependiendo el caso, se puede trazar una estrategia para tratar de recuperar la información robada o contrarrestar la vulneración.
En este caso específico de la campaña en Facebook, Intelligence Services Latinamerica, pudo resolver 80% de los casos; sin embargo, el experto explica que en este entorno de búsqueda de privacidad, los usuarios son los que deben de tomar mayor conciencia en cuanto a los protocolos de ciberseguridad en redes sociales y en la navegación general en la red, para evitar casos como éste.