¡Pide presupuesto en 2 min! ✓
CiberseguridadCompliance

Delitos tecnológicos en empresas. ¿Cómo protegerse?

Internet puede ser una gran fuente de información o de herramientas útiles, pero también es el escenario en el que muchos delincuentes han encontrado nuevas formas para cometer sus delitos. En este artículo te hablamos sobre los delitos tecnológicos a los que se enfrentan las empresas, y de cómo el compliance puede ayudar a evitarlos.

¿Qué son los delitos tecnológicos?

Los delitos telemáticos son aquellos cuyo objetivo son los sistemas informáticos o las tecnologías de la información. A las personas que cometen este tipo de delitos se les denomina ciberdelincuentes, hackers o crackers.

A raíz del continuo desarrollo de internet, los ciberdelincuentes han ideado nuevas maneras de realizar delitos informáticos. Los virus, el malware y las técnicas de ingeniería social, en todas sus múltiples variantes, son algunos de los medios que se utilizan para cometer este tipo de acciones ilícitas y comprometer la seguridad en internet.

Las víctimas de estos delitos 2.0 pueden ser tanto los usuarios como las empresas. Los ciberdelincuentes se suelen aprovechar del desconocimiento de parte de la población o de la debilidad de las medidas de seguridad de los equipos informáticos.

A continuación vemos algunos de los delitos tecnológicos más frecuentes, tanto los que se dirigen a usuarios particulares como aquellos que tienen como objetivo a empresas y organizaciones.

¿Cuáles son los delitos informáticos más comunes?

Existen numerosos tipos de delitos tecnológicos. El desarrollo de internet y de plataformas como las redes sociales ha supuesto un campo abierto para los delincuentes, que han encontrado nuevas manera de llevar a cabo sus delitos.

Estafas

Las estafas y fraudes online están a la orden del día. El llamado scamming puede adoptar numerosas formas. Los ciberestafadores utilizan diversos métodos, uno de los más comunes es la infección del equipo del usuario a través de virus o malware.

Un ejemplo de ello es el cada vez más frecuente uso del ransomware. Este tipo de malware sirve para secuestrar o inutilizar un equipo para luego pedir un rescate para liberarlo.

Otras variedades de malware como los virus, los gusanos, troyanos, botnets o spyware también se pueden usar para acceder al equipo del usuario, robar su información personal o incluso tomar el control total del sistema.

La ingeniería social también ha sufrido un gran auge para la realización de estafas. En este caso los ciberdelincuentes se suelen aprovechar del desconocimiento o vulnerabilidad de la víctima para engañarla. Es el caso de las estafas nigerianas o de las estafas en las webs de citas.

Sextorsión

Los menores de edad y adolescentes son unas de las principales víctimas de este delito. En este caso, los ciberdelincuentes acceden a imágenes privadas subidas de tono del usuario (ya sea de forma ilícita o porque la persona se las ha cedido voluntariamente), para entonces pedirle dinero o favores sexuales a cambio de no difundir dichas imágenes.

La sextorión es un delito que se deriva de la práctica del sexting. El sexting consiste en compartir fotos subidas de tono a través de redes sociales o servicios de mensajería instantánea. Obviamente, el sexting en sí mismo no es un delito, pero estas imágenes pueden emplearse para la extorsión sexual, lo cual sí es un delito que afecta al derecho al honor, la intimidad o la propia imagen de la persona.

Stalking

El stalking online consiste en espiar constantemente los movimientos de una persona en internet. También se le denomina como acecho o acoso, ya que se realiza con la intención de hostigar a la víctima. Es uno de los tipos de ciberbulling más comunes. El stalker tiene como objetivo descubrir información comprometida de su víctima para luego chantajearla.

¿Cuáles afectan en mayor medida a las empresas?

Pero vayamos a lo que de verdad queremos tratar en este artículo, que son los delitos tecnológicos que tienen como víctimas a las empresas y organizaciones. Los hackers cada vez enfocan más sus actividades a las empresas, ya sea por demostrar su habilidad, o porque los beneficios que pueden obtener son mayores.

Phishing

El phishing o la suplantación de identidad es uno de los mayores riesgos a los que uno se puede enfrentar en internet. Y las empresas cada vez son más víctimas de este fraude.

Un ejemplo de esto es el whaling, también llamado fraude del CEO. Consiste en que el ciberdelincuente se hace pasar por el CEO de una compañía para establecer contacto con otras organizaciones. Para ello lleva a cabo técnicas de ingeniería social, como puede ser crear un perfil falso en redes sociales, o enviar correos corporativos falsos haciéndose pasar por CEO de una empresa.

Este tipo de fraude también puede dirigirse a los usuarios. Por ejemplo, engañarle haciéndose pasar por trabajador de una empresa para conseguir que el usuario ceda sus datos personales con alguna excusa, por ejemplo formalizar un contrato o rebajarle las tarifas de su contrato actual.

Las consecuencias de ser víctima de suplantación de identidad pueden llegar a ser muy graves. Imaginemos que el ciberatacante tiene éxito y consigue acceder a información confidencial de la empresa. Podría usar dicha información para realizar numerosas actividades ilícitas.

Revelación de secretos

Otro de los delitos informáticos que más afectan a las empresas es el delito de revelación de secretos. Consiste en que se revela información confidencial de la empresa que puede suponer una ventaja para la competencia o un perjuicio para la empresa que ha sido víctima.

Este delito puede adoptar diferentes formas, como la violación del secreto de las comunicaciones, interceptar comunicaciones de forma ilegal, usar o modificar datos sin consentimiento, acceder de forma ilegal a sistemas informáticos o difundir información o imágenes captadas de manera ilícita.

Falsedad documental

Otro de los ejemplos de delitos informáticos es de falsedad documental o falsificación de documentos. Este delito consiste en alterar o modificar el contenido o elementos esenciales de un documento. Está tipificado como delito en el Código Penal, y para detectarlo se suele recurrir a técnicos expertos en documentología y caligrafía. Generalmente, se suele hablar de falsificación de documentos públicos, falsificación de documentos privados o falsificación de certificados.

Uno de los principales problemas a este respecto es que el desarrollo de la tecnología ha permitido a los ciberdelincuentes contar con herramientas más avanzadas para modificar documentos, lo que hace que cada vez sea más complicado detectar las falsificaciones.

¿Qué delitos informáticos podrían cometer las empresas innovadoras?

Los delitos cibernéticos están a la orden del día y hay empresas que los cometen, ya sea por desconocimiento, o por querer crecer demasiado rápido sin importar de qué manera.

Algunos de los errores en los que nunca se debe caer son:

  • El uso del engaño (por ejemplo, la publicidad engañosa) para inducir a una persona a realizar actos de compra o venta, obteniendo un beneficios económico de ello.
  • Usar programas o herramientas para llevar a cabo manipulaciones informáticas que tengan como objetivo transferencias patrimoniales de cualquier tipo, por ejemplo de una determinada suma de dinero.
  • La obtención de datos personales de clientes a través de métodos ilícitos.
  • El uso de datos personales de usuarios sin su consentimiento.
  • El desarrollo, distribución o posesión de programas informáticos cuya finalidad sea la comisión de estafas o fraudes online.
  • La utilización de datos personales, datos de cuentas bancarias o cheques de viaje para la realización de operaciones en contra de su propietario o de un tercero.

Responsabilidad penal de las empresas en este tipo de delitos

Los delitos informáticos en España están regulados en el Código Penal. Pero también es cierto que existen todavía muchas lagunas debido a la lentitud con la que actúa la jurisprudencia, en contraposición con la rapidez con la que se desarrollan nuevos métodos para cometer este tipo de delitos.

Pero, ¿cómo se trata la responsabilidad sobre los delitos tecnológicos en el Código Penal? ¿Qué dice esta normativa sobre la responsabilidad de las empresas?

El Código Penal señala que:

Se limita la responsabilidad penal de las personas jurídicas, en el caso de delitos cometidos por su personal, cuando existe una infracción del deber de supervisión sobre los mismos sólo a los supuestos en los que el incumplimiento del deber de vigilancia haya tenido carácter grave.

Para que las empresas tengan responsabilidad ante la comisión de este tipo de delitos cibernéticos en España tienen que darse una serie de requisitos:

  • El delito ha de estar tipificado en el Código Penal.
  • Las personas causantes del hecho delictivo han de ser representantes legales o integrantes de un órgano de la empresa, y estar autorizados para tomar decisiones en nombre de ella o para realizar funciones de organización y control dentro de la misma.
  • También tendrá responsabilidad la empresa en aquellos casos en los que el delito se haya cometido por personas sometidas al control o autoridad de las personas físicas mencionadas en el punto anterior, siempre y cuando no se haya ejercido sobre ellos las medidas de supervisión o vigilancia pertinentes.
  • La responsabilidad de la empresa en los supuestos anteriores existirá aunque no haya posible individualizar a la persona física responsable o no sea posible dirigir un procedimiento contra ella.
  • Por último, cabe decir que la responsabilidad penal de la empresa no queda extinguida en casos de fusión, absorción o escisión de la misma.

¿Cómo aplicar el compliance para la prevención de los delitos telemáticos?

Los preceptos sobre delitos tecnológicos en el Código Penal español incluyen que “la existencia de un programa de prevención, que conlleve una reducción significativa del riesgo de comisión de delitos, es una causa de exención de la responsabilidad penal de la persona jurídica“. También añade que se prevé la existencia de un órgano de supervisión y control de este modelo de prevención.

Dicho de otra manera, el compliance es fundamental para garantizar que la empresa ha actuado de buena fe y que no tiene responsabilidad ante la comisión de delitos tecnológicos.

Un ejemplo de compliance en una empresa sería la creación de un programa que todos los empleados, desde el primer trabajador hasta los altos directivos, han de cumplir para la prevención de cualquier delito informático o tecnológico.

Asimismo, para el cumplimiento normativo es necesario contar con un  un proveedor de whistleblowing que facilite y agilice la denuncia e investigación de delitos tecnológicos dentro de la organización.

Por tanto, el desarrollo de un plan de compliance resulta fundamental para prevenir y evitar este tipo de delitos. En caso de haber sido víctima, será necesario informar al departamento de delitos informáticos de la Policía Nacional.

¿Ya eras conscientes de los delitos tecnológicos que pueden afectar a tu empresa? ¿Has implementado las medidas de seguridad y compliance necesarias para evitarlos?