La ocasión hace al delincuente

Publicado por Jorge Jiménez - 25/02/2019

Imagine que va caminando por la calle cerca de un buzón de correos y a unos pasos de este se encuentra en el suelo lo que parece ser una carta.

Ya sé que hoy en día no solemos usar mucho las cartas y menos lo buzones, pero haga un esfuerzo e imagine que se agacha a recogerla del suelo y comprueba que, a través del sobre, se aprecia lo que parecen ser varios billetes de 100€. El sobre está franqueado, tiene una dirección de envío y un remitente, solo tiene que acercarse al buzón y depositarlo dentro de él…o no.

Es necesario adquirir conocimientos sobre el ciberdelincuente que vayan más allá de lo hace del teclado hacia el interior del espacio virtual, más allá de los procesos informáticos que guían su actuación. Conocer cómo son, su psicología y elementos de personalidad es algo necesario que deben tener en cuenta las empresas y entidades que se dedican a luchar contra la ciberdelincuencia.

Esta situación fue recreada por Farrington y Knight en 1980 para estudiar la honestidad y la tentación al delito en las personas corrientes. Colocaron cientos de cartas en esa misma situación, en el suelo de la calle a muy poca distancia de un buzón de correos y estudiaron qué pasaba con ellas en función de que en su interior hubiera dinero o no.

la_ocasion_hace_al_delincuente_01Por la calle no pasaban precisamente estafadores, delincuentes o ladrones, generalmente pasaban ciudadanos normales como usted o como yo. Los resultados mostraron que las cartas que contenían dinero tenían menos posibilidades de ser depositadas en el buzón, es decir, que los paseantes ante la oportunidad de llevarse algún dinero a casa, caían en la tentación de realizar un comportamiento deshonesto.

Este experimento se relaciona con las llamadas teorías de la oportunidad del delito, las cuales tratan de explicar cómo la oportunidad delictiva es un elemento central para que se genere un delito. Frente a otros modelos criminológicos que ponían el foco del delito en el criminal y en sus características, estas teorías apuntan a que determinadas circunstancias o situaciones pueden propiciar la aparición de un delito. Esto quiere decir que, una persona no necesita ser un despiadado criminal, un sujeto con profundos traumas psicológicos o personales, un marginal inadaptado para que un día, caminando por la calle tranquilamente, se puede encontrar la ocasión perfecta para cometer un comportamiento delictivo. Como decían dos de los autores referentes de esta corriente, Clarke y Felson, la ocasión hace al ladrón.

En los últimos años se ha discutido mucho sobre si las teorías criminológicas tradicionales sirven para explicar o analizar el ciberdelito. Generalmente, estas teorías han surgido en un contexto físico del delito y no en un contexto virtual. Cuando se hablaba de teorías criminológicas en los años 80 y 90 se pensaba en situaciones delictivas donde víctima y victimario compartían un espacio físico cercano, donde había contacto, donde lo que se quería robar o proteger era algo tangible, físico y que se podía tocar. Imagínese un robo en la calle o en su domicilio mientras usted está trabajando. Estos elementos no se encuentran en el ciberdelito, aquí no hay contacto, ni espacio, ni objetivos tangibles. Este es el nuevo contexto delictivo al que tenemos que acostumbrarnos y que explica cómo para nosotros es muy normal cerrar con llave la puerta de nuestra casa para evitar que un ladrón se pueda colar en ella, pero seguimos dejando nuestra wifi sin seguridad para que cualquier hacker pueda colarse en nuestro sistema.

la_ocasion_hace_al_delincuente_02

La pregunta es: ¿debemos crear teorías criminológicas nuevas para explicar el ciberdelito? Posiblemente, lo que hay que hacer es adaptar las que ya hay a este contexto y a sus peculiaridades.

Felson, en 1998 nos presenta la Teoría de la Actividades Cotidianas, donde explica que, para que ocurra un delito, es necesario una convergencia en el tiempo y en el espacio de tres elementos básicos:

Un posible delincuente, un objetivo apropiado y la ausencia de un vigilante adecuado que controle al objetivo. Es el llamado triángulo del delito.

la_ocasion_hace_al_delincuente_04

Es decir, para que roben en un domicilio es necesario, no solo un ladrón motivado por robar, sino un domicilio donde haya enseres y objetos de valor atractivos para ese ladrón, junto a una situación propicia en la que no existan elementos físicos o personales de seguridad y protección que puedan disuadir al ladrón.

No es necesario pensar en un sistema de alarma o en la policía cuando se habla de “vigilante adecuado”, una buena iluminación en los alrededores, grandes ventanales que permitan ver lo que ocurre en el interior o vecinos cotillas son elementos que pueden desempeñar el rol de buenos vigilantes.

La Teoría de la Elección Racional del Delito nos dice que los delincuentes hacen un análisis de coste-beneficio de sus delitos, tratando evidentemente de obtener el mayor beneficio al menor coste posible. En esa valoración analiza los beneficios que va a obtener de su víctima/objetivo y tiene en cuenta los riesgos que quiere asumir para conseguirlos, teniendo en cuenta que su mayor coste será ser detenido, pagar una multa o acabar en a cárcel.

Otros elementos de interés que nos aportan estas teorías nos hablan de cómo los delincuentes miden el “atractivo” de un determinado objetivo. Para ello recurren a 4 criterios agrupados bajo el acrónimo VIVA:

  • Valor: Se refiere al beneficio, generalmente económico, que pueden obtener del objetivo. Robar un iphone puede ser más rentable para un ladrón que robar un smartphone de una marca poco conocida.
  • Inercia. Se refiere a la facilidad y comodidad para manipular, mover, esconder…un objetivo. Esconderse en el abrigo un smartphone y sacarlo de la tienda es más fácil que hacer lo mismo con un plasma de 40 pulgadas.
  • Visibilidad. Se refiere a la exposición del objetivo para el delincuente. Robar un smartphone es más fácil si hay una persona que lo lleva en la mano mientras camina por la calle a si lo lleva guardado en un bolso sin ser visible.
  • Acceso. Se refiere a la facilidad para acceder y hacerse con el objetivo. Robar un iphone a alguien que lo está usando por la calle puede ser más fácil que robarlo en la tienda con sistema de seguridad y vigilantes. 

Modificar estos valores en un objetivo nos permite aumentar o disminuir su atractivo para un delincuente, lo que influye evidentemente en la capacidad para prevenir el delito.

Todas estas teorías y elementos de análisis pueden extrapolarse al ciberdelito si atendemos y lo adaptamos a sus peculiaridades y características específicas, pues también la ocasión hace al ciberdelincuente.

Está claro que el triángulo del delito expuesto anteriormente está presente también en el ciberdelito, siendo necesaria la existencia y convergencia de los tres elementos para la aparición del delito. Al igual que ocurre en el mundo “analógico”, el virtual también está plagado de objetivos y víctimas propicias: cuentas bancarias, datos de clientes, contraseñas, usuarios, información…

Cada vez más, el mundo virtual va atrayendo objetivos y oportunidades delictivas que anteriormente se encontraban en el contexto analógico, como por ejemplo las transacciones financieras o los medios de pago. Además, dada la poca conciencia de seguridad que desplegamos los usuarios en la red, la ausencia de controles y vigilantes hacen del mundo virtual un campo abonado para la aparición de “tentaciones” delictivas.

Esta situación es muy acentuada en los ciberdelincuentes hoy en día, los cuales obtienen beneficio con una baja conciencia de riesgo (coste) en sus actividades en la red, lo que facilita la comisión de actividades ilícitas si atendemos a lo que indicábamos sobre la Teoría de la Elección Racional del delito. Siguiendo esta lógica, si queremos reducir o prevenir el cibercrimen debemos disminuir los beneficios de la actividad delictiva o/y aumentar los costes de dicha actividad para los ciberdelincuentes. Para ello, tenemos varias estrategias:

Reducing the benefits

Increasing the costs

Strategy

Example

Strategy

Example

Reducing the anticipated reward of the crime

Setting a max amount for making online transfers

Increasing the perceived effort needed for crime

Using strong passwords

Removing excuses for crime

Messages relaying access to a restricted system

Increasing the perceived risks of committing the crime  

Creating international cybersecurity cooperation laws


Igualmente, el criterio VIVA también puede ser usado a la hora de analizar el atractivo de los ciber-objetivos, pudiendo además ofrecer información respecto a cómo prevenir o reducir determinados ciberdelitos.

Valor

El valor posiblemente sea el elemento sobre el cual tenemos menor capacidad para influir desde el punto de vista de la prevención, pues en muchas ocasiones es un elemento poco modificable en determinados objetivos. Por ejemplo, no podemos hacer que un usuario tenga muy poco dinero en la cuenta bancaria para que no le roben mucho dinero o que una empresa no recoja datos de sus clientes para que no puedan robar sus datos.

No obstante, siempre podemos influir de alguna manera para reducir el valor de un objetivo. Por ejemplo, le podemos decir a un usuario que divida sus activos financieros en varias cuentas bancarias en vez de tenerlos centralizados en una sola, podemos incluir un importe máximo de transferencia de dinero o que la empresa use un sistema encriptado a la hora de recoger y almacenar los datos de sus clientes.

Inercia

La inercia es un elemento también muy relacionado con el mundo analógico, pues se refiere al peso, volumen y características físicas del objetivo, variables que no existen en el mundo virtual. No obstante, podemos también adaptarlo a las características del ciberespacio, pues podemos influir en la capacidad para poder esconder, distribuir o transferir datos/información de los delincuentes en el ciberespacio. Un ejemplo de ello puede ser los sistemas de blockchain aplicado a las transferencias financieras o disminuir el anonimato de los usuarios en la red.

Visibilidad

El elemento de visibilidad está en el ciberespacio muy relacionado con el concepto de privacidad y de exposición que solemos manejar en la red. Los cibercriminales muchas veces seleccionan a víctimas que están muy expuestas en la red y que presentan bajos niveles de privacidad, lo cual les permite obtener información en cantidad y calidad que posteriormente pueden usar para una posible estafa o extorsión. Este elemento también puede ser difícil de manejar en un contexto como el virtual, en el cual se potencia precisamente la sobreexposición como estrategia de éxito y de reconocimiento. Ejemplo de esto puede ser el fenómeno de spear-phishing.

Acceso

El acceso es posiblemente el elemento que más se relaciona y adapta con el contexto cibernético y que ha desarrollado la mayoría de los productos de ciberseguridad. Muchos de los ciberdelitos se basan en la intrusión no consentida en algún lugar: cuenta, sistema, servidor, red…por tanto, la mayor o menor facilidad para permitir ese acceso es clave para crear un objetivo atractivo. Los sistemas biométricos, la verificación por pasos o las security keys son ejemplos de influencia en este elemento.

La mejor estrategia de prevención es la que impacta sobre varios de los elementos, por lo que, aunque la ciberseguridad se haya centrado principalmente en el acceso, los otros tres elementos también tienen incidencia en el atractivo del objetivo, disminuyendo por tanto las oportunidades delictivas.

Mejorar la seguridad en internet no requiere solo desarrollo técnico, es necesario que los profesionales de la ciberseguridad conozcan las teorías y modelos explicativos del delito y lo apliquen en sus sistemas, productos y estrategias. Como hemos visto, las teorías tradicionales son de aplicación en este ámbito y, aunque sea necesario construir nuevos modelos, es posible extrapolar los conocimientos de la Criminología para participar de esta Ciberseguridad.

Siempre vamos a encontrar delincuentes motivados para cometer algún delito, en el mundo analógico o en el virtual, por lo que solo nos queda conocer cómo son y cómo actúan e influir sobre los objetivos y las situaciones que generan ocasiones propicias para delinquir.

Temas: Psicología cibercriminal, Cybersecurity

 

 

Deep Learning for Online Fraud Prevention


Últimos artículos

Las Fintech también en el radar del malware

read more

Analizando un Malware Bancario Biométrico: Camubot

read more

Mensajes subliminares. El Phishing del futuro.

read more