Previamente, antes de entrar de lleno en el tema, resulta necesario entender que dos de los principales activos de una empresa son por un lado sus datos y por otro su conocimiento, que hoy día se suelen guardar en los sistemas informáticos. Así, el acceso a dichos sistemas para adquirir los datos o los conocimientos de la empresa supone uno de los más importantes y peligrosos ataques que puede sufrir cualquier actividad empresarial.
Ante tales conductas, ¿con qué protección contamos? El legislador ha recogido en nuestro Código Penal una serie de preceptos que regulan los “Ciberdelitos empresariales”, entre ellos el delito de Espionaje Informático, tal y como veremos más adelante.
El Espionaje Informático Empresarial o “Hacking” consiste en la intromisión a través de medios informáticos en un sistema ajeno para acceder a su información sensible con el fin de usarla posteriormente en perjuicio de la víctima. Por supuesto, como se puede suponer, la obtención de tales datos se realiza a través de métodos ilegales y los daños y pérdidas causados a la empresa objeto de tales acciones pueden ser bastante cuantiosos. Aunque pueda parecer algo sacado del argumento de una película de espías, lo cierto es que ocurre en la realidad.
La multinacional IBM calculó recientemente que las pérdidas derivadas de este tipo de ataques informáticos ascienden actualmente a 400.000 millones de euros anualmente. En España, se ha estimado que las empresas pueden llegar a perder 13.000 millones de euros por estos robos de información.
Como muestra de esta práctica, nos remitimos a esta noticia publicada el 14 de Febrero de este año en la página web de RTVE: “Los fiscales estadounidenses han acusado este jueves a Huawei Technologies Co. de robar secretos comerciales, ayudar a Irán a identificar a manifestantes en las protestas de 2009 y mantener negocios ilegales con Corea del Norte, dos países sujetos a sanciones por EE.UU. En el nuevo escrito que lista hasta 16 cargos, el fabricante de tecnología de telecomunicaciones chino, junto a dos de sus filiales en EE.UU., es acusado de conspirar para robar propiedad intelectual y secretos comerciales de seis empresas de tecnología estadounidenses y violar la ley de organizaciones corruptas e influenciadas por el crimen organizado (RICO).” (https://www.rtve.es/noticias/20200214/estados-unidos-acusa-huawei-espionaje-industrial-hacer-negocios-iran-corea-delnorte/2001215.shtml)
Y es que no sólo las empresas protagonizan este tipo de casos, espiando ilegalmente a otras empresas competidoras e incluso a sus propios clientes o recurriendo al robo de información. Todos recordamos el caso, más o menos reciente, objeto de una importante cobertura mediática, protagonizado por el ex técnico de la C.I.A., Edward Snowden, que trabajó como consultor para la N.S.A. (Agencia Nacional de Seguridad) y que se encuentra acusado de espionaje por parte de Estados Unidos tras haber revelado cierta y “delicada” información.
Y es que apropiarse de información con fines económicos es algo frecuente hoy en día, especialmente contra empresas que manejan información que puede ser valiosa, independientemente del tamaño de la propia empresa. Por ello, las empresas invierten cada vez más dinero en ciberseguridad, porque la información es poder, y actualmente, en esta “era digital”, más que nunca.
Ciertamente, la tipología de este tipo de ataques es muy variada y la destreza de los “hackers” en este ámbito es realmente sorprendente. Aún así, se puede condensar y clasificar dicha práctica en cuatro grandes grupos de modalidades de conductas propias del espionaje informático:
– HACKING: Acceso directo del ciberdelincuente en el sistema informático por vía remota.
– SPYWARE: Este tipo consistiría en crear un determinado programa y su utilización para introducirse en el sistema ajeno, de forma que acceden a la información y datos de dicho sistema, reenviándolos a su vez al hacker. Hay que señalar que pueden “entrar” en el sistema por medio de spam, o al descargarse algún programa.
– KEYLOGGER: Es un tipo de software o un dispositivo hardware específico encargado de registrar las pulsaciones que se hacen en el teclado, para averiguar claves y contraseñas con el objetivo de tener acceso a información de la víctima.
– SNIFFER: Aplicación especial para redes informáticas, es decir, un software cuya función es capturar y analizar paquetes en tránsito en un red de comunicaciones entre dispositivos, de manera que puede acceder a contraseñas, nombres de usuarios o incluso intercepta emails y conversaciones de chat.
Para acabar, no podemos dejar de citar unas palabras que el parlamentario británico Duncan Campbell, en relación con el espionaje industrial, pronunció hace unos años: “Centenares de las historias de éxito en las que estadounidenses han ganado a sus competidores japoneses o europeos podrían deberse al espionaje industrial”. El espionaje informático empresarial está a la orden del día, lo que no significa que sea algo lícito. De hecho es un delito.
Eduardo Moreno Marquez. Abogado de Ciberlawyer.