A medida que EEUU busca un mayor cumplimiento en el delito cibernético, la ley RICO regresa para desarmar a las cibermafias
[private]Por Daniela Guzman y Brian Kindle
12 de Agosto de 2014
La imagen tradicional de un jefe de la mafia en la cabecera de la mesa dirigiendo a sus cómplices está siendo rápidamente reemplazada por su equivalente digital: pandillas cibernéticas, a menudo conectadas sutilmente, y extendiéndose a través de las fronteras internacionales.
De las filtraciones de datos a los esquemas de fraude en línea, el campo de la delincuencia financiera cibernética está cada vez más dominada por grupos delictivos organizados. Un análisis de 2013 por el InfoSec Institute encontró que casi el 80% de los incidentes de ciberdelincuencia se estima que se originan a partir de algún tipo de actividad organizada.
A pesar de una mayor atención de los medios y de los esfuerzos para aumentar la seguridad en los sectores público y privado, el delito financiero cibernético continúa siendo lucrativo para las pandillas transnacionales. En un informe conjunto publicado el mes pasado, McAfee y el Center for Strategic and International Studies (Centro de Estudios Estratégicos e Internacionales) estimó los costos anuales de los delitos cibernéticos entre US$ 375.000 y US$ 575.000 millones a nivel mundial. «La ciberdelincuencia produce altas ganancias con bajo riesgo y (relativamente) bajo costos para los hackers», señaló el informe.
Aunque existe una cierta superposición entre los grupos del crimen organizado «del mundo real» y en línea y, muchas ciberbandas se parecen muy poco a las organizaciones mafiosas más tradicionales. Grupos que ofrecen «ciberdelincuencia como servicio» pueden reunirse para trabajos puntuales, asociándose a través de foros en línea u oscuros sitios web. Mientras que muchas bandas de delincuentes de delito cibernético se encuentran en varios estados de la antigua Unión Soviética, los participantes pueden estar dispersos por todo el mundo, y actúan con una estructura de liderazgo descentralizado.
Estas diferencias no han frenado a las agencias de ley de EEUU de utilizar una ley de varias décadas que diseñada para atacar a las redes de delincuencia organizada, la Racketeer Influenced and Corrupt Organizations Act (RICO), para acabar lo que ellos llaman las versiones modernas de grupos mafiosos.
El Departamento de Justicia de Estados Unidos está utilizando cada vez más la ley RICO como una herramienta para perseguir actividades cibernéticas de delincuencia financiera. La primera acción exitosa de la ley en el ámbito de la ciberdelincuencia llegó a finales del año pasado, cuando un ladrón de identidad llamado David Ray Camez fue condenado por cargos RICO por un jurado federal por haber comprado licencias de conducir falsas en el oscuro mercado en línea llamado Carder.su.
Ahora los fiscales federales han ampliado la red para atrapar a otros comerciantes en Carder.su, incluyendo el ciudadano ruso Roman Seleznev, a quien el Servicio Secreto una vez llamó «uno traficantes de información financiera robada más prolífico del mundo».
Sitios del ciberdelito funcionan como bandas criminales, alegan los fiscales
Acusado en el estado de Washington en marzo de 2011 Seleznev presuntamente conspiró con otros delincuentes cibernéticos de todo el mundo para vender números de tarjetas de crédito robadas por un valor de más de US$ 2 millones.
Seleznev, conocido en Internet con varios alias como Ruben Samvelich, Bulba, y Zagreb, supuestamente instaló malware en los sistemas de restaurantes y tiendas minoristas para robar datos de tarjetas de crédito y débito. Luego publicaría grandes volúmenes de información de números de tarjetas de crédito y otra información personal en Carder.su, entre otros sitios. Los usuarios registrados del sitio podrían entonces comprar los datos robados en ofertas que van desde números de tarjetas individuales hasta paquetes de 1000. Junto con la información de tarjetas de crédito, los miembros podían comprar identificaciones falsas y otra información sensible. El esquema significó una pérdida de más de US$ 50 millones para los proveedores de tarjetas, de acuerdo con documentos de la corte.
Los fiscales están ahora utilizando RICO para desmantelar un grupo de 39 delincuentes que comercializaban información robada. Utilizando la ley RICO, Seleznev y sus compradores están siendo tratados como una banda criminal vinculada. Esto hace que cada integrante sea responsable de los actos delictivos de toda la organización, además de los cargos individuales que enfrentan por fraude bancario y robo de identidad. En total, los involucrados en el caso Carder.su están acusados de haber cometido 7.900 delitos de aproximadamente.
La acusación y la declaración de los hechos que se dio a conocer a principios de este mes delinean las conexiones entre los actores de Carder.su, y los comparan con la forma en que opera una familia del crimen. Los fiscales argumentan que RICO aplica porque Carder.su operaba con una estructura jerárquica y el código de conducta para sus miembros, donde Seleznev actuaba como capo.
Los abogados defensores en varios casos han contrarrestado esas afirmaciones, argumentando que sería una extralimitación usar la ley RICO y que el sitio operaba más como una versión delictiva de eBay que cualquier tipo de red de crimen organizado.
Hasta ahora, esos argumentos no han logrado convencer a ningún jurado. Junto con la condena de Camez, otros nueve compradores –de bajo nivel— detenidos en el caso Carder.su ya se han declarado culpables. El caso de Seleznev ahora pondrá a prueba el uso de cargos RICO contra un supuesto «jefe de la mafia» de una operación de la delincuencia informática.
El éxito en el caso Seleznev es muy posible que fortalezca la ley RICO como arma contra el ciberdelito
Si los fiscales tienen éxito en obtener una condena contra Seleznev, esta situación fortalecerá la teoría legal de que se puede utilizar RICO contra todos los niveles de participantes en los foros y mercados en línea relacionados con la delincuencia informática. Los compradores y vendedores en el bazar de drogas en línea Silk Road, por ejemplo, pueden ser vulnerables a acusaciones bajo la ley RICO.
Para los fiscales estadounidenses que buscan herramientas de aplicación más duras contra los delincuentes cibernéticos, RICO tiene tres ventajas principales. Las acusaciones bajo RICO traen aparejadas severas penas, incluida la pena de prisión de 20 años a cadena perpetua. La ley también puede impedir que los acusados utilicen sus ganancias procedentes de presuntos actos delictivos para financiar su defensa.
Debido a que la ley responsabiliza a todos los miembros de los actos de una «organización corrupta», puede permitir a los fiscales llegar a los altos miembros de las bandas criminales que manejaron a otros en actos ilícitos sin llegar a participar en ellos.
EEUU utiliza una táctica más agresiva para investigar y extraditar delincuentes financieros
Roman Seleznev ha pedido ser dejado en libertad y que se le eliminen los cargos, y el gobierno ruso ha emitido un comunicado diciendo que su detención era similar al secuestro de un ciudadano ruso. El padre de Seleznev sería miembro del parlamento ruso, lo que agrega un toque de intriga geopolítica en el caso ciberdelincuencia.
La investigación de Carder.su y la naturaleza del arresto de Seleznev resaltan un cambio hacia tácticas más agresivas contra los ciberdelincuentes por parte de las autoridades de ley de Estados Unidos. El caso surgió en parte de la evidencia recopilada durante un período de cuatro años de una operación encubierta a cargo del Servicio Secreto de Estados Unidos llamada “Operation Open Market,” (Operación Mercado Abierto), la misma investigación que llevó al derrumbe de Liberty Reserve.
El mismo Seleznev fue arrestado mientras estaba de vacaciones en las Maldivas, y fue extraditado a territorio estadounidense de Guam. Su arresto marca un inusual ejemplo en el que un criminal cibernético de Rusia o de Europa del Este es llevado a EEUU para ser juzgado.
Crecen los costos del ciberdelito
A pesar de una mayor presión sobre los criminales cibernéticos por parte de las autoridades de Estados Unidos, la fuerza y el costo de la ciberdelincuencia sigue aumentando.
En 2013, el costo promedio de empresas y otras organizaciones de EEUU por año relacionados con la ciberdelincuencia fue de US$ 11.56 millones—con un rango de entre US$ 1.3 millones y US$ 58 millones— de acuerdo con un estudio realizado por la firma Ponemon Institute. Un informe de 2013 de Symantec encontró que el mayor costo por la delincuencia informática por país se registró en Estados Unidos, con un total de US$ 38.000 millones.
La ciberdelincuencia también es responsable de una porción más grande de los delitos financieros en su conjunto. Según InfoSec, la actividad fraudulenta que se inicia en las teclas de una computadora ahora representa aproximadamente un tercio de todos los esquemas de fraude.[/private]