¿Qué hago cuando mi empresa es víctima de un ciberataque?

La mayoría de los ciberdelitos se dan al interior de las organizaciones. Según Berkeley Research Group, la mayor fuente de brechas e incidentes se deben al personal de la empresa en un porcentaje superior a 60 por ciento.

León A. Martínez

29 de mayo de 2018, 06:00

En México, las empresas víctimas de un delito informático que quieren presentar una denuncia se ven obligados a seguir un largo y tortuoso camino. No existe una Fiscalía especializada y los ministerios públicos no están capacitados para atender esto tipo de delitos. Además de tener que tipificar ellas mismas el delito, las víctimas de la ciberdelincuencia tiene que asesorar a las autoridades si quieren que las investigaciones resulten en la reparación del daño.

En agosto de 2014, el entonces titular de la PGR, Jesús Murillo Karam, reconoció en una rueda de prensa que en materia del combate a los delitos informáticos la acción de la autoridad estaba rebasada por la velocidad de los desarrollos tecnológicos. Cuando se instrumentaban estrategias para combatir este tipo de delitos, en poco tiempo éstas ya eran obsoletas. “Estamos haciendo intentos que no hemos podido cuajar de manera importante, y la razón fundamental radica en los cambios enormes en la tecnología, a una velocidad impresionante”, argumentó Murillo Karam.

En 2017 México ocupó la quinta posición a nivel mundial en incidencia de ciberataques, y la segunda en América Latina. La empresa israelí Mer Group señala que 1.5 millones de personas se ven afectadas por ataques cibernéticos de diversa índole a diario en el país. Cifras de la firma especializada en seguridad informática indican que un ataque cibernético puede costar a las empresas mexicanas un promedio de 500,000 dólares.

La mayoría de los ciberdelitos se dan al interior de las organizaciones. Según cifras de un estudio publicado por Berkeley Research Group en 2017 sobre la situación real de la ciberseguridad en las empresas, la mayor fuente de brechas e incidentes se deben al personal de la empresa en un porcentaje superior a 60%. Apenas el 22% de incidentes se debe a hackers o a actores externos.

Tipificar la conducta delictiva

Ante este panorama, y sin una Fiscalía especializada en delitos informáticos ni una tipificación precisa de los mismos, los asesores legales de los afectados están obligados encuadrar estas conductas como delitos en el marco del código para que puedan presentar las denuncias ante los Ministerios Públicos.

Les toca a las víctimas también determinar si el delito informático corresponde a la jurisdicción federal o local. “Hay que comprender que los delitos informáticos no los vamos a encontrar en el catálogo de delitos del código penal federal o del código penal local, por lo que se recomienda la asesoría de un abogado especialista en delitos informáticos que pueda analizar estas conductas constitutivas del delito para tipificarlas en un tipo penal”, dijo Luis Mario Lemus, socio director del área de Nuevas Tecnologías y Protección de Datos Personales en la firma de abogados Calderón & De la Sierra.

En entrevista, el especialista explicó que si el delito es del fuero federal se debe acudir a la Unidad de Policía Cibernética de la Comisión Nacional de Seguridad. En este caso, la denuncia se puede hacer en línea, al correo Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo., que corresponde al Centro de Atención del Comisionado. Si el delito corresponde a la jurisdicción local, y en el caso de la Ciudad de México, se debe presentar la denuncia ante la Policía de Ciberdelincuencia Preventiva, al correo Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo., o al número de teléfono 5242-5086.

El director de la Policía de Ciberdelincuencia de la capital del país, Juan Carlos Montesinos, explicó que este grupo especializado brinda orientación técnica y jurídica gratuita a las víctimas de delitos informáticos para presentar su denuncia ante las autoridades correspondientes. Actúa como “traductor”, ya que plasman el delito informático en los términos de uno de los tipos de delito del código penal para que las autoridades ministeriales, que carecen de los conocimientos necesarios para esta acción, puedan empezar la investigación.

Necesaria, más capacitación

La falta de capacitación de los Ministerios Públicos para procesar estos delitos y el aumento en la cantidad y gravedad de los mismos, hacen necesario que el legislativo cree una Fiscalía especializada en la materia y que se tipifiquen los ciberdelitos, insistió Lemus.

“Las más de las veces, el Ministerio Público carece de los conocimientos y herramientas para realizar las investigaciones”, dijo Lemus, y recomendó que la acción del asesor legal contratado por la empresa no se limite a la presentación de la denuncia, sino que también colabore en la investigación. Para garantizar un resultado satisfactorio para el denunciante, el abogado contratado debe contar con amplios conocimientos tecnológicos en material penal.

En caso de que la investigación conduzca al responsable de delito, este último puede ir a la cárcel o llegar a un acuerdo con la parte afectada para la reparación del daño.

El abogado afirmó que a pesar de todas las dificultades, las empresas que son víctimas de delitos informáticos siempre deben presentar las denuncias correspondientes. También destacó que muchas veces, las carencias y omisiones del aparato de justicia en la materia no son el obstáculo principal para que las víctimas de ciberdelitos no denuncien, sino por que creen que tal denuncia podría afectar su imagen y reputación ante clientes y socios. “Es necesario, crear una cultura de la denuncia en el ámbito de los delitos informáticos” dijo Lemus.

Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.