Subgrupo 1
- Moderadora: Natalia Salazar, Agesic.
- Relatora: Marta Susana Manent, ICD.
- Participaron 11 (once) personas de 9 (nueve) Instituciones públicas, Organizaciones de la Sociedad Civil, Academia y/o Sector Privado.
Ronda 1. Intercambio sobre el borrador
Parte A. Aportes generales sobre la propuesta borrador
Agesic (Institución pública) - Natalí Paggiola
Expresa que la propuesta debe centrarse en proteger los derechos de las personas. Entiende fundamental definir el seguimiento y monitoreo de la estrategia y que sea independiente del gobierno, que se le dé continuidad y a su vez que se midan los resultados.
Agrega que la cadena de custodia debe estar incluida en una metodología general forense, dentro de un marco. Señala que en la Estrategia se da una propuesta de crear un Laboratorio Forense pero que hay que definir cuáles la comunidad que atenderá.
MI (Institución pública) - Saúl Scanziani
Manifiesta que le costó entender los “Pilares” del borrador porque notó mucho solapamiento. Propone dividir las iniciativas porque supone que en cada pilar habrá especializaciones, y se pregunta cómo generar iniciativas en cada Pilar específico. Considera que se tratan muchos ítems y le suenan muy amplios: habría que bajarlos a tierra.
GLOBANT (Sector privado) - Guillermo García
Menciona como muy importante el tema de la cooperación. Considera que el ámbito privado puede aportar insumos y material. Manifiesta que es fundamental crear un ámbito de intercambio que fortalezca a todos, tanto al sector público como al sector privado. Señala, con respecto a los parlamentarios, que no poseen la educación especializada necesaria para legislar y requieren capacitación además de asesoramiento de expertos. Se necesitan campañas para que la gente conozca lo que supone la ciberdelincuencia a todo nivel. Enfatiza que es necesaria la educación en las primeras líneas de batalla, es decir, en las comisarías donde los policías tienen que comprender la diferencia entre un robo de un objeto físico y un robo o sustracción digital y tener las herramientas para abordar esa situación particular. Considera que, así como a las empresas privadas se les exigen ciertas certificaciones, a los organismos del Estado también debería exigírseles el cumplimiento de ciertos estándares que aseguren cierto grado de seguridad. Por último, opina que desde ciertos sectores privados y también los públicos es necesario generar ámbitos de intercambio de información y conocimientos para solucionar estas falencias.
BID (Institución pública) - Ariel Nowersztern
Comenta que hace más de un año hubo una ronda de consultas con Fiscalía y el Ministerio del Interior, y se concluyó que faltaban capacidades operativas para atender al flujo de casos que llegaran con un cierto nivel de calidad. Para lograr esto, una de las iniciativas que se propuso fue la creación de un Laboratorio Forense. Sin embargo, esto exige un grado de inversión y capacitación elevado y, ante todo, implica reconocer la brecha entre la realidad y la posibilidad de concretar.
Comenta que otro aspecto importantísimo que se debe tener en cuenta en esta sección, si bien también ha sido tratado en otros pilares, es el impacto diferencial que tiene el cibercrimen en distintos sectores de la población: hay estadísticas mundiales que muestran que el cibercrimen incide diferencialmente según el género, la edad y la orientación sexual, entre otras. Debería contemplarse esto en la Estrategia. Por último, enfatiza la importancia de la recolección y gestión de datos. Al plantear la Estrategia, hay que tratar de que sea sistematizada y que mejore lo que ya hay: sin datos será muy difícil lograrlo.
BROU (Institución pública) - Marcelo Varaldi
Manifiesta que los Pilares son muy valiosos, aunque se solapan y habría que ver cómo se vinculan unos con otros. Le parece que presentar el cibercrimen y la ciberdefensa como cuestiones recientemente incorporadas es contraintuitivo y que debería tomarse en cuenta lo preexistente. Ambas deberían ser la vertical porque en definitiva de lo que se está tratando es sobre crimen local e internacional. Hace notar que la mayoría de los ataques son contra las personas. Manifiesta que la capacitación legal es un problema que debería resolverse porque no se conoce cómo recoger evidencia y a la hora de proveer evidencia válida se pierde, o se deteriora. La Policía y la Defensa deberían ser los líderes en la cuestión.
BID (Institución pública) - Ariel Nowersztern
Comenta que una Estrategia Nacional debe tratar de abordar el problema de todas las maneras posibles, pero que esto es un desafío porque hay muchas aristas y visiones según los actores que se involucren. Sostiene que lo bueno de los procesos de co-creación como éste es que permite ver más en profundidad, porque el tema es multidimensional.
UM (Academia) - Martín Pecoy
Coincide con lo manifestado. Comenta que hay áreas que necesitan fortalecimiento. Sostiene que la concientización no se puede llevar a cabo sin una unidad específica que se dedique a difundir para que la población entienda que fue víctima, lo que en muchas oportunidades no ocurre y por ello no se recopilan evidencias y cuando se llega a una causa judicial no hay posibilidad alguna de intervención. Enfatiza que lo previo es: tipificar. Sostiene que no alcanza con importar modelos espectaculares que no se adecuan a la realidad criminológica del país. Entiende que en ese sentido una Fiscalía especializada puede resultar útil y necesaria, y contribuiría a cuidar adecuadamente la cadena de custodia de la evidencia digital. Señala que es deber del Estado tener esto regulado y actualizado en cada una de las instancias. Agrega que los desafíos cambian diariamente y es menester realizar una periódica revisión de las figuras penales y de los procederes en Fiscalía. Resalta que la legislación debe tener en cuenta también los intereses de los ciberdelincuentes para ser efectiva. Opina que cada uno de esos focos son importantes en los distintos momentos de la legislación, tanto en la tipificación como en el seguimiento y eventualmente en la condena.
Con respecto al ecosistema, si bien lo entiende focalizado en esas unidades de gestión especializadas, también reconoce la necesidad de concientización de todo el resto de los actores, como por ejemplo los magistrados. Respecto a la educación, estima que debe haber un plan de divulgación a partir de la ley, porque hay que impulsar una campaña para que la ciudadanía sepa cómo, cuándo y dónde denunciar y que los órganos que deben dar respuesta la provean adecuadamente. Puntualiza que hay un proyecto de ley en el Parlamento desde agosto de 2021, que contiene una tipificación conforme al Convenio de Budapest y contiene también la creación de una campaña de educación. Le falta, sin embargo, la parte procesal, como la creación del Registro de ciberdelincuentes, aunque sí contempla la creación de la Fiscalía especializada. Asimismo, propone que, entre otras medidas procesales, debe legislarse el desbloqueo compulsivo de dispositivos electrónicos, tema que hoy en Uruguay no es posible discutir ya que todavía no se sabe ni siquiera cómo envolver un dispositivo incautado para preservarlo.
BCU (Institución pública) - Daniel Fernández
Manifiesta que coincide con la propuesta como un marco general. Considera que las carencias vienen desde lo normativo, así como también de la educación tanto a nivel usuario como a nivel académico. Indica que, aunque se ha avanzado, falta capacitación y recursos en las Fiscalías y en el Poder Judicial.
Agesic (Institución pública) - Martín Albornoz
Expresa que coincide con todo lo que se ha manifestado y remarca que hay un problema con el Proyecto de ley que se trata desde 2021 puesto que si aún no salió, para cuando salga ya va a haber quedado atrasado. Subraya que lo que está aportando en estas mesas debe ser llevado a la práctica. Sostiene que el intercambio de información entre los privados y los públicos es imprescindible: se deben implementar canales o plataformas que permitan realmente ese intercambio.
Poder Judicial (Institución pública) - Diovanet Olivera
Comparte lo que se ha manifestado. Destaca como uno de los principios de esta propuesta la visión integral para abordar todos los problemas, que tienen que ver con la defensa, con la seguridad, con el cibercrimen, y con la educación. Se deben armonizar las visiones e integrar a todos los actores, incluyendo a la academia y a los operadores judiciales. Le parece de suma importancia la especialización a nivel judicial y de fiscalías para generar capacitación de los operadores judiciales. Reconoce que hoy los jueces no saben incorporar la evidencia digital. El avance tecnológico es vertiginoso y se les hace difícil mantenerse actualizados. Por lo tanto, la capacitación es fundamental. Agrega que, si bien es necesaria la capacitación en la policía y las fiscalías, no se puede dejar afuera de la capacitación a los jueces que en definitiva son los que tienen que autorizar los procedimientos. Señala que para tipificar es necesario conocer qué es un delito informático, cuál es la realidad de lo que está sucediendo en el entorno digital. Agrega que otro punto relevante teniendo en cuenta que el ciberdelito es internacional es la regulación de la cooperación jurídica internacional, especialmente para el cibercrimen, porque si bien hay convenios y tratados firmados entre países, al no tener una normativa interna que regule, sucede que cuando piden cooperación a Uruguay no puede brindarse porque no hay regulación interna que aclare los procedimientos, y viceversa, Uruguay no puede pedir asistencia.
Parte B. Aportes específicos sobre el pilar a analizar en la mesa
Agesic (Institución pública) - Natalí Paggiola
Manifiesta que la formación para todos y en forma continua es fundamental, y la actualización es clave.
MI (Institución pública) - Saúl Scanziani
Sugiere que el tema de colaboración con los organismos debería conformar un subtítulo entero aparte, ya que es muy abarcativo. También recalca que hay que determinar presupuesto. Propone que el financiamiento sea un objetivo en sí mismo dentro de cibercrimen. Propone tres líneas de acción para subdividir la cuestión de colaboración:
una primera línea que establezca acuerdos referidos a lo que son las agencias de cibercrimen, (Interpol, por ejemplo);
una segunda línea que refiera a la colaboración con el sector privado dado que mucho del apoyo de la investigación de ciberdelitos depende del aporte de este sector (interactuar con Google, con Meta);
una tercera línea que suele denominarse ‘comunidad de ciberinteligencia”, que mantenga actualizados los avances y las mediciones (incluyendo incidentes, previsiones y respuestas tanto en lo estatal como en lo privado). Sugiere que un organismo del tipo del CERTuy debería coordinar la comunidad.
Se deben desarrollar protocolos, siguiendo los marcos de trabajo que ya hay. Menciona que el tema “compliance” es un punto a desarrollar puesto que eso indica en qué hace falta capacitación. Es fundamental priorizar la capacitación.
GLOBANT (Sector privado) - Guillermo García
Sobre la declaración de incidentes, destaca que hay mucho secretismo en el reporte de incidentes por el impacto que puede tener revelarlos, entonces hay que lograr que se comparta la información al menos parcialmente. Esto ocurre sobre todo en el sector privado. Debería haber un plan de comunicación. Comparte el ejemplo de lo que sucede en Chile, donde la ley impone que dentro de las 48 horas de ocurrido un incidente que afecte estructuras críticas hay que dar un informe mínimo y a las 72 horas un informe más profundo. Entiende que es necesario salir del secretismo y hacerse responsable de la vulneración o la filtración que ocurra. Para ello la información tiene que circular, por lo que se requiere un CSIRT nacional que maneje toda esa información.
Considera que quienes legislan tienen que mantenerse actualizados. Debe haber un especialista trabajando constantemente con los legisladores, brindando un asesoramiento más dinámico. Resalta de imperiosa necesidad legislar rápido.
BID (Institución pública) - Ariel Nowersztern
Indica que es necesario definir el idioma de la Estrategia, porque queda muy general, y se requieren precisiones para que se pueda traducir mejor a iniciativas. Ofrece el ejemplo de la propuesta de creación del Laboratorio Forense, señalando que hay que identificar lo que va a poder atender, y también lo que va a contener. Entiende que se va a tener que retrabajar el texto y hacer precisiones.
BROU (Institución pública) - Marcelo Varaldi
Se pregunta si respecto del Convenio de Budapest sigue siendo un objetivo adoptarlo como legislación dentro de la Estrategia Nacional, considerando que tiene que ver con cuestiones de hace 25 años. Entiende que tendría que haber una revisión; la tecnología cambia velozmente y la legislación tendría por ello que ser flexible. Aparte de la ley, tendría que existir un Comité Técnico que revise cada seis meses y actualice.
UM (Academia) - Martín Pecoy
Aporta un esquema de 5 ordinales que son los siguientes:
Con respecto al Convenio de Budapest, más allá de que haya críticas sobre el mismo, resalta que es el que hay y está funcionando, por lo que es importante ratificarlo. Menciona que hay también un Tratado en la ONU con un enfoque más actualizado. Ve necesario su fortalecimiento con recursos y capacitación a la Unidad de Cibercrimen.
Entiende que es necesaria la tipificación de ciertos delitos que no pueden faltar, citando como ejemplos los delitos de suplantación de identidad y fraude cibernético. Considera que hay que incorporar en un marco regulatorio la colaboración internacional y la colaboración intrainstitucional local.
Se debe contemplar la necesidad de establecer un sistema de denuncias, un canal lo más amigable posible (podría ser un 0800 o una aplicación), y que este canal alimente a una Fiscalía especializada que lidere la investigación. A través de esa actividad ésta podrá ir actualizando periódicamente los protocolos de intervención.
Propone que deban realizarse reportes periódicos, tal vez anualmente (quizá podría encargarse de esto el CSIRT) que evidencien cuáles son los peligros para poder así actualizar la respuesta a los delitos prevalentes en un momento dado.
Como aspiración a futuro, entiende indispensable llevar adelante una reforma procesal. Estima que en ella hay que incorporar la regulación legal de la cadena de custodia de la evidencia digital, cómo conservar y reproducir esta evidencia; abordar las garantías individuales, y abrir el camino para que las fuerzas del orden tengan acceso a la evidencia digital. Se deben prevenir los perjuicios irreparables protocolizando la gestión de dicha evidencia. También se debe establecer hasta cuándo se conservan las evidencias, porque la conservación tiene un costo. Entiende esencial contemplar también la protección de derechos frente a una agresión sexual. Discrepa con el criterio de que el tratamiento del ciberdelito es asimilable al tratamiento de los delitos “analógicos” o físicos y opina que hay que establecer un procedimiento específico.
Agesic (Institución pública) - Martín Albornoz
Propone que el intercambio de información sea un objetivo en sí mismo ya que aporta al monitoreo. También es importante tener en cuenta que el cibercrimen rompe fronteras. Señala que en ciertos casos de intercambio de información de algunos delitos se manejan números de teléfono, datos de identidades, y otras cuestiones sensibles y pregunta qué puede hacerse para proteger la privacidad de la víctima. Al mismo tiempo subraya que debe determinarse lo que se hace con la evidencia. Respecto a la comunicación de incidentes, plantea que es necesario que se establezca su obligatoriedad. Entiende que hay que planificar lineamientos para poder comunicar incidentes.
Poder Judicial (Institución pública) - Diovanet Olivera
Plantea que desde la magistratura no se sabe cómo tratar el tema de las nuevas tecnologías, y ejemplifica con un caso en el que intervino recientemente donde se había ordenado videovigilancia a una casa con un dron, y tuvo que limitarlo porque entendió que el grado de intrusión que el dron provocaba era asimilable a un allanamiento. Reconoce que la norma no puede regular todo, pero enfatiza el hecho de que da una pauta y que los funcionarios judiciales necesitan contenido sustantivo y procesal para poder operar.
Parte 2. Aportes estratégicos, priorización e identificación de actores para el pilar de la mesa
Parte A. Validar los objetivos planteados en el capítulo del pilar de la mesa
Por falta de tiempo, se salteó puntualizar sobre este eje, considerándose que ya se lo había tratado en la primera ronda. Se recalcó la importancia del cibercrimen como pilar de la Estrategia.
Parte B. Aportes sobre actividades/acciones para el pilar específico de la mesa
Se plantearon actividades y acciones para el pilar “Cibercrimen”, detalladas a continuación según ejes temáticos:
Laboratorio forense
Acerca del laboratorio forense, se consideró que debe quedar explicitado a qué público está dirigido. Se cuestionó su necesidad ya que en Uruguay existen muchos laboratorios muy importantes. Se debe definir precisamente las cuestiones que atendería.
Poder Judicial
Se recalcó la necesidad de dotar al Poder Judicial de colaboradores y equipos independientes de la Policía, haciendo hincapié en que suele haber mucha ingenuidad y no llega a detectarse que hay intereses espurios detrás de ciertos temas cuya investigación queda en manos poco profesionalizadas. Se subrayó que debería existir un ente regulador con sistemas de control que estén sujetos a revisión.
Necesidad de regulación
Se resaltó la necesidad de regular, es decir:
Falta una tipificación,
Falta una ratificación del Convenio de Budapest,
Falta una clara determinación de cómo vamos a hacer para cooperar internacionalmente y cómo vamos a cooperar inter-institucionalmente en lo local.
Disponibilidad de información
Se discutió mucho acerca de la disponibilidad y el manejo de la información: se debe determinar quién la maneja, para quién, cuándo, y cómo. A partir de eso se podrá determinar la tipificación y proceder a investigaciones.
Sistematización de las denuncias
También se consideró clave la sistematización de las denuncias: se debe determinar un mecanismo, un canal sencillo para que todos los ciudadanos puedan recibir respuestas. Los asuntos deben tener seguimiento; se les debe brindar la solución y una resolución a su caso.
Necesidad de un campo estadístico
Se necesita un campo estadístico aplicado a esta materia, porque en definitiva antes incluso de tipificar, una adecuada medición de esta criminalidad sería esencial. También es esencial la periodicidad con la cual se brinda la información: se propuso establecer un reporte anual para medir cada agresión y poder reorganizar los esfuerzos y que el ecosistema se oriente a alguna criminalidad preeminente en cada momento concreto.
Creación de una Fiscalía especializada
Se vio necesaria la creación de la Fiscalía especializada. Sería un modo de profesionalizar el tratamiento de estas cuestiones, no solamente en lo inmediato sino a posteriori con el desarrollo de futuras capacidades y resiliencias que el propio Estado debe ir conformando. Se deben ir formando protocolos propios para cada delito, lo que va a ayudar a su vez en investigaciones posteriores.
Tratamiento de la evidencia digital
Respecto al punto del tratamiento de la evidencia digital, la reforma procesal es clave para brindar mecanismos hábiles y garantistas. No existe actualmente una cadena de custodia de la evidencia digital determinada y clara. Esto debe establecerse.
Concientización
Por último, no es posible conformar todo este ecosistema sin una adecuada concientización. Esto es clave en todos los ámbitos: en la academia, en los propios órganos del Estado. Se propuso que quizás la Fiscalía especializada o el CSIRT podría cumplir esa función, o se podría implementar un esfuerzo coordinado entre ambos. Todos debemos ser conscientes poder denunciar, y que esas denuncias a su vez encaminen procedimientos de investigación más ordenados.
Parte C. Analizar viabilidad, priorizar acciones e identificar actores vinculados
En esta mesa no se evaluaron los actores. Sin embargo, la participante Natalí Paggiola (Agesic – institución pública) propuso lo siguiente por escrito:
Objetivo 1: los actores serían la academia, Presidencia, los sectores privados, la policía, la Fiscalía, el Poder Judicial, la comunidad legal y el gremio.
Objetivo 2: los actores serían la academia, la educación no formal, Presidencia, el Ministerio de Economía y Finanzas, el Ministerio del Interior, Fiscalía y el Poder Judicial.