COVID-19, Derecho, Derecho penal, Pandemias

Cambio de comportamientos en la era Covid: organizaciones/cibercrimen y ciberseguridad

En primer lugar, hay que hablar del cambio de comportamiento en el comportamiento organizativo. En este ámbito, supone entender el comportamiento organizativo en el ámbito de trabajo, considerando la motivación, la comunicación, etc. Por ello, la sociología coge un papel muy importante.

Como conceptos clave, hay que tener en cuenta COVID-19 y organizational behaviour. Hay que estructurar este primer punto hacer referencia a los cambios detectados, destacando entre ellos la inseguridad laboral y agotamiento, estresores ocupacionales y preocupación y estrés. Se detectó un aumento del agotamiento laboral.

Para intentar paliar estos efectos negativos, y para evitar contagio, se propuso para ello el teletrabajo, la flexibilidad de vacaciones, entre otras medidas.

Por otro lado, otro estudio destaca que la preocupación física, mental, monetaria influía en el comportamiento de los trabajadores.

Hay que añadir que algunos de los estudios son:

  • AGOTAMIENTO OCUPACIONAL. MORGANTINI ET AL. 2020.
  • MUJERES Y TELETRABAJO. DA COSTA ET AL. (2020)
  • TOMA DE DECISIONES. NORRIS ET AL. (2020)

Aquí habría que añadir que “surgirán nuevos estilos de liderazgo, maneras ágiles de trabajar y, por supuesto, transformaciones en todo lo referente a la tecnología. Y es que el mundo del mañana deberá estar preparado para enfrentarse a un escenario muy distinto al que estábamos acostumbrados. Por ello, me gustaría aproximarme desde aquí a ciertos cambios que, en mi opinión, perfilarán el contexto en el que operarán las organizaciones. Empezar a pensar en ellos es clave para adelantarse al futuro y ser parte de la solución.

Un cambio en la sociedad

En primer lugar, nos encontraremos ante una sociedad más reflexiva. Byung-Chul Han afirmaba hace escasos años que nuestra sociedad se caracterizaba por estar enfocada a los resultados y a la búsqueda del máximo rendimiento.

Sin embargo, creo que este será uno de los grandes cambios de la nueva normalidad. Si algo nos está enseñando esta crisis sanitaria es la necesidad de fortalecer la dimensión relacional y aumentar una identidad colectiva cimentada en la confianza. La emergencia sanitaria global está desvelando cómo las sociedades donde prima el bien común tienen mayor éxito ante las amenazas y adversidades que aquellas donde prima la dimensión individual. Ya lo decía Noah Yuval Harari cuando afirmaba que aquello que realmente nos hace humanos es nuestra capacidad para cooperar de forma consciente a gran escala.

Creo que el Covid-19 nos está impulsando a tomar una mayor conciencia de nuestra dimensión social; esto nos convierte en una comunidad más unida cuya piedra angular es la confianza, que hace viable nuestra red de relaciones personales, familiares, comerciales e institucionales.

Las organizaciones deben leer el contexto social para anticiparse a las tendencias, necesidades y expectativas de los ciudadanos

Los que me conocen saben que siempre hago hincapié en la clara necesidad que tienen las organizaciones de contar con profesionales y mecanismos que les permitan leer el contexto social para anticiparse a las tendencias, necesidades y expectativas de los ciudadanos e impulsar una gestión eficaz que genere innovación, transformación y creación sostenible y equilibrada de riqueza para todos los grupos de interés. Esto requiere un nuevo estilo de liderazgo basado en la confianza y en estructuras horizontales y estrategias de comunicación transparentes y responsables.

El liderazgo ya no se basará en la autoridad, sino en la ejemplaridad sobre la base de un propósito y unos valores compartidos por todos, y en especial por los empleados y clientes, generando así actitudes y comportamientos alineados con la nueva cultura y con los objetivos de negocio. También requiere de indicadores y modelos de medición que nos permitan conocer en tiempo real el pulso de nuestros grupos de interés. De ahí que considere, que, en el nuevo mundo, que ya está aquí, la inteligencia y el análisis avanzado de los datos será determinante para generar y proteger todo el valor que encierran las organizaciones.

placeholder

Transformación cultural y digital

Observo, además, que la situación en la que nos encontramos está acelerando la digitalización y la implantación de una transformación cultural profunda con la adopción rápida de nuevos modelos y formas de relacionarnos y de trabajar. La llegada del Covid-19 ha acelerado de forma disruptiva esta transformación, implantando medidas de conciliación y procesos de trabajo ágiles.

Hoy más que nunca, las organizaciones han descubierto el poder de la confianza recíproca entre los empleados y las organizaciones en las que trabajan. El ámbito del trabajo dejará de ser un lugar (la oficina) para ser una actividad que se realiza cada día. Esto llevará a las organizaciones a reforzar sus sistemas de ciberseguridad, reformular los procesos de toma de decisiones, flujos de información, y a rediseñar la experiencia digital de empleados conectados desde distintas ubicaciones y husos horarios. Un ecosistema, por tanto, en el que el propósito y los valores compartidos son la mejor garantía para asegurar el comportamiento ético y la integridad de todos los colaboradores.

El coronavirus, como vemos, está acelerando la transformación cultural y la digitalización de las empresas. La tecnología está siendo una gran aliada, posibilitando la comunicación y conectividad en el ámbito personal y profesional. Se ha demostrado su eficacia para combatir el virus a través de la geolocalización, el estudio de la movilidad ciudadana, el control de la temperatura corporal o la creación de aplicaciones de monitorización de datos en tiempo real, como se ha hecho en Corea del Sur.

El futuro requiere una lógica predictiva y será la tecnología la que nos permita obtener datos, hacer análisis y prever escenarios

El futuro requiere una lógica predictiva y será la tecnología la que nos permita obtener datos, hacer análisis y prever escenarios y comportamientos para tomar mejores decisiones. El poder será de quien tenga los mejores datos y sepa utilizarlos con inteligencia e integridad. A su vez, se abre el debate sobre sus limitaciones en la necesaria garantía de la privacidad y propiedad de los datos, el posible impacto negativo en la desigualdad —la mitad de la población no tiene acceso a Internet— o las malas prácticas de comunicación y manipulación a gran escala.

Una vez volvamos a la normalidad, las cosas habrán cambiado. Las empresas que se adaptarán mejor y más rápidamente serán las que ya empezaron antes de la crisis a hacerse las preguntas sobre cuál es su propósito en el mundo, cuáles son sus capacidades y fortalezas competitivas y qué es lo que esperan de ellas sus principales grupos de interés. Estas serán capaces de dar una respuesta auténtica con acciones concretas que generen credibilidad, confianza y buena reputación. Habrá muchos casos en los que se tengan que reformular y redefinir la jerarquía de valores y los modelos de negocio ante la nueva normalidad en la que también habrán cambiado los valores, las actitudes, los comportamientos y los hábitos sociales y de consumo. Las que lo hagan correctamente saldrán adelante y habrán fortalecido su resiliencia.

Creo que esta crisis, sin precedentes en nuestra historia reciente, nos permite aprender y aceptar que somos vulnerables como individuos y que no podemos controlar la naturaleza. Pero también hemos descubierto la fuerza que tenemos cuando sentimos y actuamos como integrantes de una comunidad global. Gracias a este instinto de cooperación, grabado en nuestros genes, podremos superar las crisis que vendrán en el futuro”.

Habría que añadir el tema del liderazgo inclusivo (manera en que los líderes trabajan para incluir los trabajadores puedan colaborar). Hay que destacar trabajos sobre el tema como:

  1. LIDERAZGO INCLUSIVO. DISTRÉS PSICOLÓGICO. AHMED ET AL. 2020.
  2. APOYO AL SUPERVISOR. INCERTIDUMBRE. CHAROENSUKMONGKOLA Y PHUNGSOONTHOMB. 2020.
  3. MINDFULNESS, SUEÑO Y ENGAGEMENT. ZHENG ET AL. 2020.

En cuanto a la segunda parte, hay que hablar de empresas que puedan ser generadoras de oportunidades delictivas y cibercrimen. Nos centraremos aquí en la cibercriminología (estudio de la delincuencia en el ciberespacio y su relación con el mundo físico). Aquí el punto de encuentro sería el factor humano.

Ya se ha dicho que se han producido cambios en el ámbito de las actividades cotidianas, potenciando cambios que ya se venían produciendo:

  • VOLATILIDAD. CAMBIOS FRECUENTES.
  • INCERTIDUMBRE. ACONTECIMIENTOS O RESULTADOS IMPREDECIBLES.
  • COMPLEJIDAD. CAÓTICA (VUCCA), MULTIPLICIDAD DE CUESTIONES Y FACTORES.
  • AMBIGÜEDAD (FALTA DE CLARIDAD Y DIFICULTAD PARA ENTENDER EXACTAMENTE CUÁL ES LA SITUACIÓN). INTERPRETACIONES DIVERSAS DE LA REALIDAD.

También hay que destacar el hecho de que tenemos ahora información a un click de distancia. Y esto viene muy mal para poder entender el hecho que nos rodea.

Hay que hablar en primer lugar del cibercrimen económico. Durante el periodo de confinamiento se produjo una reducción, sobre todo por la pandemia, pero falta de ver los datos de 2020.

Incluso se puede decir que las actividades de ransomware y fraude se ha incrementado.

En cuanto al ciberseguridad, se ha de señalar que “los ciberdelincuentes están aprovechando la crisis de COVID-19 para intentar robarnos datos sensibles o personales. Este tiempo de confinamiento facilita que pasemos más tiempo conectados a la red y nos expone más de lo habitual a sus riesgos.

Además, nuestro estado emocional (angustiados, distraídos) y el hecho que los delincuentes conozcan nuestros intereses (buscamos información relacionada con la pandemia) nos hace vulnerables a ataques de ingeniería social. Estos utilizan el engaño o la manipulación psicológica para que las víctimas den de forma voluntaria información personal y confidencial, muchas veces financiera, a sistemas no autorizados.

COVID-19, el momento para actuar

El Centro Europeo de Cibercrimen (EC3) de Europol recoge, en una de sus recientes notificaciones de inteligencia sobre el mundo digital (Cyber Bits), cómo el cibercrimen está aprovechando la crisis para intensificar sus ataques.

Las campañas diseñadas para la crisis del coronavirus incluyen la suplantación de identidad de organizaciones privadas u oficiales (phishing), el malware de todo tipo (por ejemplo, virus y troyanos), amenazas a los dispositivos móviles, amenazas persistentes avanzadas (Advanced Persistent Threats, APT), mulas de dinero, ataques al teletrabajo (por ejemplo, a través VPN falsas), fraudes, extorsiones y ataques a la protección de datos y a la privacidad, entre otras.

No consuma noticias, entiéndalas.

A continuación exponemos algunos ejemplos de ataques diseñados específicamente para la crisis de la COVID-19:

  • La aplicación para móviles Covid 19 Tracker. Distribuida a través del dominio malicioso coronavirusapp.site, supuestamente hace un seguimiento de la expansión del coronavirus. Bloquea el teléfono y lo deja totalmente inservible hasta que el usuario paga un rescate para desbloquearlo (ataque de ransomware).
  • Una estafa de phishing a través de WhatsApp que difunde una subscripción gratuita en Netflix. Para poder acceder a la subscripción, ofrecida con el pretexto de la COVID-19, los usuarios deben rellenar un formulario en una web fraudulenta con sus datos personales y financieros.
  • Otra estafa de phishing a través de un correo electrónico (supuestamente) de la OMS. Nos incita a descargar un keylogger, una aplicación que puede registrar todas las teclas pulsadas por la víctima y dar información de contraseñas y otros datos sensibles a los atacantes.

Muchas empresas de ciberseguridad han detectado un aumento considerable de los dominios registrados relacionados con el coronavius a nivel mundial. Algunos se utilizan para campañas de phishing y de descarga de malware (mas información en Domaintools.com).

Las campañas maliciosas funcionan por estadística. Sus autores saben que hay un porcentaje de usuarios, aunque sea pequeño, que caerá en la trampa. Los datos personales tienen un valor elevado en el mercado negro y tanto los usuarios a título individual como las empresas debemos tomar precauciones para que los ataques informáticos que se aprovechan de la inestabilidad de este periodo no nos afecten.

A continuación, proponemos diez consejos para afrontar la situación actual en lo referente a la seguridad nuestros dispositivos y a la información que contienen.

1. Informarnos sobre las medidas de protección

A pesar de que recibimos información sobre los riesgos de conectarse a internet, no tenemos suficientes conocimientos prácticos sobre ciberseguridad. Además, trabajar con datos sensibles de una empresa en un ordenador doméstico entraña más riesgo que el uso lúdico de un móvil.

El confinamiento es una oportunidad única para aprender buenas prácticas de navegación segura. Una de las mejores maneras de evitar riesgos es obtener información de calidad. Además de preguntar a expertos de nuestro entorno, podemos consultar portales de organismos oficiales que facilitan información detallada en materia de ciberseguridad, como la Oficina de Seguridad del Internauta (OSI) y el Instituto Nacional de Ciberseguridad (INCIBE).

En cualquier caso, hace falta más formación práctica para que los usuarios domésticos puedan saber qué opciones tienen para protegerse ante los riesgos. Es una buena idea invertir algo de nuestro tiempo en obtenerla.

2. Configurar contraseñas seguras

Tenemos que establecer contraseñas seguras y diferentes para cada servicio. Esto no sirve solo para acceder al correo o a aplicaciones sensibles como las bancarias, también se aplica a las claves que se fijan por defecto, por ejemplo, en las conexiones wifi domésticas.

A pesar de que los consejos en este sentido son los habituales, hay que tener en cuenta que en la situación actual podemos ser más vulnerables.

3. Conocer los ciberataques más comunes

Una de las amenazas más extendidas es el phishing, que pretende engañar a los usuarios y pedirles datos sensibles, como pueden ser los de carácter personal, suplantando a una entidad pública o privada de confianza.

El objetivo de los impulsores de estos ataques puede ser desde vender bases de datos con direcciones de correo electrónico hasta conseguir datos bancarios, si consiguen que los usuarios las revelen.

Otra práctica común es el ransomware. Los usuarios reciben un correo malicioso y, al pinchar en un enlace, abren la puerta a que se descargue un programa que inutiliza el ordenador, impidiendo a sus propietarios acceder a la información. El objetivo es pedir un rescate económico para desbloquear el equipo.

4. No proporcionar datos por correo electrónico

El correo electrónico es un canal común para campañas publicitarias masivas, pero no es la vía adecuada para solicitar datos personales. Las entidades nunca nos pedirán datos a través de un correo con un sencillo “responda aquí”. Las informaciones sensibles no se envían nunca de este modo.

5. Vigilar los correos con remitentes desconocidos

No hay que confiar en los correos cuya procedencia no esté clara. Una de las mejores maneras de asegurarse de ello es revisar los dominios de las direcciones de correo y comprobar si son los habituales como, por ejemplo, .es en el caso de un organismo del Estado (en lugar de .com o .org).

Hay direcciones maliciosas que contienen unos códigos largos o extraños que no se corresponden con los formatos habituales. A veces, podemos no detectar nada sospechoso si solo revisamos los nombres de los remitentes. Hasta que comprobamos cuál es la dirección real que nos contacta, que a menudo tiene esos formatos extraños que deberían hacer saltar nuestras alarmas.

6. Los filtros antispam y antiphishing pueden fallar

A pesar de que los filtros antispam y antiphishing de nuestros servidores de correo funcionan razonablemente bien, no son infalibles y pueden dejar pasar algún mensaje malicioso. Si de cada 100 000 usuarios que reciben un correo malicioso, un 1 % cae en la trampa, ya tendremos 1 000 afectados.

Este tipo de ataques se organizan pensando en llegar a un elevado número de usuarios. Ese pequeño porcentaje multiplicado por un número suficientemente grande se traducirá en decenas, centenares o quizá miles de registros de datos robados.

7. Atención a las apps de procedencia dudosa

Si nos bajamos una aplicación fuera de un market oficial (como Google Play o el Apple Store) nos exponemos a un ataque malicioso. Si no estamos seguros, no deberíamos instalar ninguna app que no sea de un escaparate oficial.

Es fácil encontrar contenidos o webs con datos interesantes, como pueden ser la evolución del coronavirus en tiempo real. A veces, esas páginas nos indican que existe una aplicación que podemos descargar para obtener más información. Si la instalamos, damos permisos adicionales para acciones maliciosas que pueden afectar a nuestros dispositivos.

8. Cuidado con los datos en el teletrabajo

Si teletrabajamos, debemos tratar con cuidado los datos sensibles de la empresa. Hay organizaciones que no están habituadas a trabajar de forma remota y que no han tenido suficiente margen para implementar un plan de desarrollo del teletrabajo. Los atacantes están aprovechando esta falta de previsión para introducir más malware en la red.

Adaptarse rápidamente para tomar las medidas necesarias para evitar las vulnerabilidades no es fácil. Uno de los principales riesgos para las empresas son los datos que manejan sus empleados. Durante estos días, los trabajadores acceden a informaciones sensibles con sus ordenadores particulares. En muchos casos, estos equipos no se ajustan a los estándares de ciberseguridad fijados por las organizaciones, que sí cumplen los dispositivos de sus oficinas.

9. Evitar hacer copias innecesarias de datos sensibles

Tenemos que ser cuidadosos con los datos de la actividad profesional y guardarlos solo de manera temporal y excepcional en los dispositivos de nuestro domicilio.

Debemos evitar realizar copias de datos en dispositivos que están fuera de la red de nuestra organización o empresa. No contamos con las medidas de seguridad y los protocolos que exigen las normativas que regulan su uso, como los requerimientos del Reglamento General de Protección de Datos.

Un ejemplo son los datos personales y bancarios con los que trabajan los departamentos de recursos humanos. Tal vez no nos quede otro remedio que guardarlos temporalmente en el ordenador para realizar los pagos de las nóminas, pero debemos suprimirlos inmediatamente después.

10. Detengamos la difusión de noticias falsas

Difundiendo fake news ponemos en peligro nuestra ciberseguridad y la del resto de usuarios. Amplificar el ruido con contenido no veraz relacionado con cuestiones de interés general como la COVID-19, no solo perjudica la sociedad con desinformación, sino que puede propagar acciones maliciosas ocultas.

Antes de difundir según qué contenidos sensibles tenemos que estar alerta, consultar fuentes fiables y no amplificar lo que no esté contrastado. Webs con nombres demasiado evidentes que incluyen el término “coronavirus” en su dirección, o algunas campañas de apoyo colectivo que están aflorando, pueden ser foco de ciberataques.

La gran norma es desconfiar de todo aquello que no conocemos ni hemos podido contrastar su autenticidad.

Esperamos que estos consejos puedan servir de ayuda para evitar que esta grave crisis sanitaria venga, además, acompañada de un crisis de ciberseguridad que afecte a nuestras infraestructuras tecnológicas y su información”.

También hay que añadir que, como consecuencia de las muertes por la pandemia, la ciberdelincuencia en estos tiempos de pandemia en la franja de edad en que menos se ha producido este hecho ha sido de 60 años en adelante.

Se puede afirmar también que “la noticia de la proliferación de acciones penales contra el Gobierno y otros funcionarios de la Administración por la posible comisión de un delito de homicidio imprudente, por la indebida falta de control de la propagación del Covid-19, nos lleva a reflexionar acerca de su viabilidad de acuerdo con la ley penal vigente, aunque ya podemos anticipar que la actual regulación del Código Penal resulta insuficiente para combatir acciones como las denunciadas, en las que, como consecuencia de una inacción, de la omisión de una acción debida de evitación, se aumenta de modo antijurídico el riesgo de propagación del virus.

Trataremos de explicar nuestra posición de la manera más inteligible posible, aunque sea a costa de renunciar al planteamiento de no pocas cuestiones trascendentes de naturaleza dogmática.

No es dudoso que las autoridades sanitarias tienen el deber legal de contener la propagación del virus. Así lo imponen la Ley 33/2011, de 4 de octubre, General de Salud Pública y la Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública. Conforme a ellas, las autoridades sanitarias tienen la obligación legal de tutelar la salud pública, de una adecuada vigilancia y de informar sobre la presencia de riesgos específicos para la salud de la población.

Por lo tanto, la inacción de la autoridad competente en materia de salud pública es susceptible de ser sancionada administrativamente, aunque el legislador, al elaborar el catálogo de infracciones, no pensó obviamente en las infracciones que pudieran proceder de la propia Autoridad sanitaria.

Cualquier omisión en el cumplimiento de ese deber legal de protección de la salud pública y, en particular, de contención de la propagación, aunque sea a título de simple negligencia o imprudencia, genera responsabilidad en la autoridad competente por la mera infracción del deber, al margen del resultado. Cuando el riesgo para la salud es extraordinario, como sin duda ocurre con el Covid-19, la responsabilidad del incumplimiento será mayor.

Ahora bien, dicho esto, el riesgo de infección masiva deriva de la propia naturaleza del virus y de su intrínseca capacidad expansiva. No cabe reprochar a la autoridad sanitaria la creación del riesgo, que ya existe antes de la necesidad de intervención administrativa, sino la contribución que, con su omisión o inacción, o intervención tardía, ha realizado -de modo antijurídico- al aumento del riesgo de propagación y, como consecuencia, haber propiciado que el riesgo contra la vida y la salud individuales inherente al virus se haya descontrolado, que seguramente se ha traducido también en el incremento de los resultados lesivos.

No puede dudarse, por tanto, de que la omisión de los deberes de control de la pandemia, la incompetencia para contenerla, la adopción tardía de medidas de salvamento que se evidenciaron como necesarias o la inhibición o desidia frente a la segura propagación de la epidemia por razones extra-sanitarias, confiando quizás en la providencia o en el azar, genera en la autoridad competente, sea el Gobierno, el Ministerio de Sanidad, el Delegado del Gobierno o la autoridad sanitaria de que se trate, responsabilidad por el mero incumplimiento del deber de protección y el antijurídico aumento del riesgo de propagación.

Ahora bien, que la responsabilidad que pueda exigirse sea de índole criminal depende, en un ámbito del Derecho regido por el principio de legalidad penal, de que el comportamiento en cuestión esté tipificado taxativamente en la ley penal.

Excluida en este análisis la intención o el dolo -incluso eventual- referido a la causación de la muerte o del daño a la salud y situándonos, por tanto, en el terreno de la imprudencia o falta de negligencia (que sería grave, desde luego, en atención a la magnitud del riesgo para la salud pública), la cuestión que se suscita inmediatamente es si, una vez fuera constatado el incumplimiento de las normas elementales de cautela, puede imputarse adicionalmente a la infracción del deber por parte de la autoridad un homicidio o lesiones imprudentes, teniendo en cuenta que la vida o la salud e integridad física de las personas son bienes de naturaleza individual, no colectiva.

¿Cómo probar en el proceso que la inacción de la autoridad incrementó el riesgo de lesión de un fallecido en particular?

Pues bien, para imputar el resultado de muerte o lesión a la autoridad o funcionario es necesario poder establecer la correspondiente relación causal entre aquella omisión o inacción (la infracción del deber) y el concreto resultado de muerte o de lesión, lo que desde el punto de vista científico se antoja de dificultad extrema cuando no imposible, pues ello requeriría poder constatar en cada caso individual (particular juicio de causalidad) que el contagio trae causa de aquella omisión de las autoridades gubernativas, y no poder explicarlo, alternativamente, por otra causa natural de mayor o más próxima eficiencia.

Habría que demostrar que se produjo una elevación esencial del riesgo, no en abstracto (cosa empíricamente demostrable), sino en el caso concreto. ¿Y cómo probamos en el proceso que la inacción de la autoridad incrementó el riesgo de lesión del fallecido en particular? La mera dificultad, en un proceso regido por el derecho a la presunción de inocencia y el in dubio pro reo, determinará a buen seguro la falta de viabilidad de una acusación por homicidio o lesiones por imprudencia.

La cuestión de la causalidad en casos de infecciones masivas se planteó ya, con un gran debate jurídico, en el caso del síndrome tóxico de la colza (sentencia del Tribunal Supremo de 23 de abril de 1992). Y la solución finalmente adoptada se tradujo en la formulación de la siguiente regla: “Existe una ley natural de causalidad cuando, comprobado un hecho en un número muy considerable de casos similares, sea posible descartar que el suceso haya sido producido por otras causas” distintas de la acción enjuiciada.

No se ocultará la dificultad de verificar en cada caso si el contagio se ha producido por la expansión del virus debida a la falta de intervención eficaz en su control por la autoridad sanitaria, descartando otras posibles causas.

En el caso que ahora nos ocupa, la autoridad sanitaria no habría creado el riesgo de infección, que preexiste a su inacción, sino que la eventual infracción del deber de protección (la omisión ilícita de la autoridad sanitaria, si se demostrara) incide o concurre en un riesgo preexistente, que ya fluye y amenaza a la población, aumentándolo de forma antijurídica, lo que permitirá considerar que ha contribuido a la propagación del virus e incluso que probablemente lo ha hecho también al incremento de fallecidos y contagiados.

Pero será imposible discriminar, adicionalmente, en cada caso individual cuándo el contagio -y ulterior resultado- puede imputarse al riesgo precedente o a la parte aumentada por la inacción de la autoridad, esto es, persistirá la duda de si realmente se ha producido una elevación esencial del riesgo para esa concreta persona fallecida o contagiada.

Aunque el delito de homicidio o de lesiones pueden imputarse -en comisión por omisión-, cuando exista obligación legal de actuar en evitación de un resultado, esto es, “cuando el omitente haya creado una ocasión de riesgo para el bien jurídicamente protegido mediante una acción u omisión precedente” (artículo 11 del Código Penal), la prueba de la “causación” del resultado con arreglo a criterios científicos es insoslayable: debe despejarse la incógnita de si la realización de la acción debida por la autoridad sanitaria hubiera evitado el resultado, de tal modo que se pueda concluir que la inacción o infracción del deber de tutela constituyó conditio sine quae non del concreto contagio.

Esta exigencia de los delitos que consisten en un resultado (como aquí, muerte o lesiones por contagio) requiere poder probar en el proceso qué hubiera sucedido si las autoridades sanitarias se hubieran comportado de un modo diligente (el exigible comportamiento alternativo conforme a Derecho), de tal suerte que la responsabilidad penal por aquellos delitos de resultado solo podrá declararse si, en el caso de haber realizado la acción debida, esto es, colocando la condición omitida (por ejemplo, la adopción de medidas de contención en un momento más temprano, la prohibición de manifestaciones masivas a pesar de conocer el riesgo de propagación, etc.), se hubiera desbaratado el resultado, evitado con una seguridad rayana a la certeza tal o cual muerte o lesión, para cada caso individual. O dicho inversamente: si a pesar de que las autoridades hubieran actuado de un modo conforme a Derecho la muerte o el contagio se hubiera producido de igual modo, no podría imputarse objetivamente la muerte a aquella infracción del deber de control. Desde ambos puntos de vista, la prueba de la causalidad se presenta en este caso con extrema dificultad.

Resultaría, en todo caso, insuficiente la conclusión empírica de que la adopción de medidas severas como el confinamiento o cualquiera otras fruto de una intervención temprana de la autoridad hubiera conducido con probabilidad a un descenso del número de víctimas, considerados como grupo, pues no es posible apreciar un homicidio o lesiones referidos a un grupo indeterminado de personas al ser necesario un juicio de causalidad individual. La causalidad debe determinarse para cada individuo afectado, no siendo suficiente una mera conclusión estadística.

No se oculta la dificultad de poder alcanzar una conclusión segura en el plano científico-natural acerca de si, habiéndose realizado la acción debida exigible a la autoridad sanitaria, se hubiera evitado la muerte de una persona concreta, con nombre y apellidos. Este es el problema de reconducir la calificación penal a tipos penales que protegen bienes individuales, como la vida o la salud de las personas.

Es difícil alcanzar una conclusión segura sobre si, de haberse realizado la acción debida exigible a la autoridad sanitaria, se hubiera evitado la muerte de alguien con nombre y apellidos

El delito de homicidio consiste en “matar a otro”, lo que requiere vincular causalmente la acción u omisión a un resultado individual (es decir, conforme a lo expuesto, la acción debida de la autoridad lo hubiera evitado con seguridad), lo que es imposible de determinar con certeza, ni siquiera con alto grado de probabilidad.

¿Se puede probar que una persona se contagió por haber participado en la manifestación del 8-M, no evitada por las autoridades, con exclusión de otra causa distinta? Y, en un juicio de causalidad hipotética, la adopción por las autoridades sanitarias de las debidas medidas de control, prohibiendo, por ejemplo, la concurrencia en manifestaciones y eventos, ¿habría evitado realmente el contagio de esa concreta persona, o pudo contagiarse por otra causa de las múltiples posibles?

Una variedad de interrogantes campean sobre la siempre difícil cuestión de la causalidad, que en este caso presenta una complejidad manifiesta.

Otra perspectiva distinta es la posible relevancia penal de la conducta en la que el resultado no fuera el elemento del tipo, sino un factor de agravación, sancionándose ya en el estadio previo la mera causación ilícita de un riesgo grave contra la salud pública o el incremento antijurídico del riesgo ya creado.

De este modo podría prescindirse de la necesidad de verificar individualmente una relación de causalidad entre la omisión y el resultado lesivo, reprochándose como delito autónomo el aumento indebido del riesgo por parte de la autoridad incumplidora o la creación antijurídica de un mayor riesgo de propagación, con mayor cualificación cuando ese aumento de riesgo se haya traducido en un mayor número de contagios y, por tanto, por estimación, de un mayor incremento de fallecidos o lesionados, lo que debería tenerse en cuenta como mayor desvalor. Y ello con independencia de poder vincular causalmente aquel comportamiento ilícito con fallecimientos o lesiones individuales, lo que excluye -conforme a lo expuesto- la posible atribución de un delito de homicidio o lesiones imprudentes, pero no impediría la sanción penal por aumentar de modo antijurídico el riesgo para la salud debido a la omisión de las debidas medidas de protección. Sin embargo, un tipo penal de peligro, como veremos, tampoco se encuentra en nuestro Código Penal.

En conclusión de lo hasta ahora expuesto:

(1) Aunque se pueda llegar a probar que se hubieran evitado muertes y contagiados en el caso de una mayor diligencia en la actuación de la autoridad sanitaria, ello no es suficiente para poder sancionar por delito de homicidio o lesiones, pues no existe en el Código Penal un delito de homicidio que consista en haber aumentado por imprudencia grave el peligro contra la vida de un colectivo;

(2) la sanción penal por homicidio o lesiones solo sería posible si, además de la prueba de la expansión indebida del riesgo prevenido, se acredita que efectivamente el concreto contagio, con el resultado de muerte o lesión, está vinculado causalmente a la omisión antijurídica de la autoridad incumplidora, lo que, como decimos, presenta dificultad extrema. Tampoco es posible sancionar por la tentativa de homicidio (aunque prescindamos del resultado concreto), al ser requerida para este caso una actuación dolosa. Igualmente sería inaplicable el delito de omisión del deber de socorro (artículo 195 del Código Penal), que también presenta una perspectiva individual.

Llegado a este punto, y expurgando el Código Penal, excluida en la práctica la posibilidad de atribuir a la autoridad sanitaria un delito de resultado de muerte o lesión, solo queda indagar si se sanciona por sí mismo el aumento antijurídico del riesgo como delito de peligro autónomo. Y podemos concluir que tampoco contiene el Código Penal un tipo delictivo que sancione, como delito contra la seguridad colectiva, a la autoridad o funcionario que, con competencia sanitaria e incumpliendo el deber legal de vigilancia y protección de la salud pública, con infracción de normas de cautela o cuidado debido, haya incrementado por su inactividad el riesgo de propagación de una epidemia, poniendo en peligro concreto la vida o la salud de las personas. Esto es, que se sancione el aumento antijurídico del peligro en sí mismo, como delito de riesgo, con independencia de que pueda verificarse o no en el caso concreto la causalidad natural con el resultado de muerte o de lesión, al ser concebido como delito contra la seguridad colectiva.

El Código Penal no contiene un delito contra la seguridad colectiva que sancione a la autoridad que haya incrementado por su inactividad el riesgo de propagación de una epidemia

El legislador penal, a la hora de tipificar los delitos contra la seguridad colectiva (artículos 341 y siguientes), lugar en el que se regulan los delitos que consisten en la creación de un riesgo grave para la vida o la salud de las personas, se preocupó, a la hora de tipificar los delitos de riesgo catastrófico, de conductas tales como la liberación de energía nuclear o elementos radiactivos (artículo 341, sancionado la imprudencia grave en el artículo 344; por ejemplo, caso Chernobyl); los estragos o provocación de explosiones (también sancionándose la imprudencia grave); los incendios, la manipulación o distribución de explosivos y otros agentes o la difusión de sustancias tóxicas o determinados delitos alimentarios.

Tampoco los delitos contra la salud pública (artículos 359 y siguientes) ofrecen solución adecuada: se tipifica la comercialización de sustancias nocivas para la salud, de medicamentos, o el tráfico de drogas y sustancias estupefacientes.

Los delitos de riesgo catastrófico son sancionados muy duramente, en consideración a la posible afectación masiva a una pluralidad de personas. Se sancionan como delito de peligro determinados comportamientos que amenazan gravemente la vida, la integridad física o la salud de las personas.

Pero no se representó el legislador la necesidad de castigar penalmente la comisión por imprudencia de una acción u omisión como la analizada que ponga gravemente en peligro aquellos mismos bienes jurídicos. Y ello a pesar de concurrir identidad de razón para castigar la conducta de quien indebidamente ha contribuido a la “liberación” del riesgo epidemiológico, o su falta de contención, con gran potencialidad lesiva, a pesar de los indicios objetivos de la expansión de la epidemia.

Por tanto, también como delito de riesgo contra la seguridad colectiva o contra la salud pública, el supuesto analizado presenta más que notables problemas de subsunción típica.

Más allá de la laguna legal apreciada con relación a las conductas antijurídicas que consisten en un aumento indebido del riesgo en los casos analizados, algún otro reproche puede formularse con relación a las medidas adoptadas, ya una vez declarado el estado de alarma y centralizada la gestión de la epidemia.

El delito de los artículos 362 y 362 quater del Código Penal, introducido por la Ley Orgánica 1/2015, de 30 de marzo, sanciona con pena agravada a la autoridad o funcionario público que importe, suministre, intermedie, comercialice, ofrezca o ponga en el mercado “productos sanitarios que no dispongan de los documentos de conformidad exigidos por las disposiciones de carácter general, o que estuvieran deteriorados, caducados o incumplieran las exigencias técnicas relativas a su composición, estabilidad y eficacia, y con ello se genere un riesgo para la vida o la salud de las personas”.

Ahora bien, se trata de un delito doloso. El legislador penal no ha contemplado la puesta en peligro de la salud debida a la negligente distribución de los productos sanitarios. Y, como es sabido, las acciones u omisiones imprudentes solo se castigarán cuando expresamente lo disponga la ley.

Por tanto, la importación, suministro de material defectuoso o ineficaz, que resultaba necesario para la contención de la propagación y que ha podido también contribuir el aumento del riesgo para la vida o la salud de los colectivos más vulnerables, no puede sancionarse penalmente al amparo de estos preceptos, salvo que se demuestre que la autoridad o funcionario los puso en circulación a sabiendas de su ineficacia, lo que es difícil de asumir.

En consecuencia, tampoco por esta vía la ley penal nos ofrece un marco legal adecuado para sancionar penalmente algunas de las conductas imprudentes que se han evidenciado en el suministro de medios sanitarios para prevenir el contagio”.

El fraude online ha crecido más en el ámbito individual que en el de las empresas.

Por otro lado, habría que añadir que habría que “echar un ojo al informe “Pandemic profiteering” de Europol, en el que se muestra el escenario criminógeno en el que nos movemos estos días, en concreto, una alta demanda de productos médicos, sanitarios; la posibilidad de que exista desabastecimiento en ciertos bienes; el aumento del teletrabajo y la recurrencia a soluciones online; traslado de la actividad a los hogares y al ciberespacio; e incremento de la ansiedad y el miedo entre la población.

Con todos estos ingredientes cabe pensar que la delincuencia que más puede aumentar es la relacionada con el ciberespacio. De hecho, los riesgos en este sentido son claros, sobre todo con el uso de la ingeniería social (el gancho del engaño) centrada en esta crisis para cometer fraudes online, por ejemplo, utilizar correos o webs de ayuda, de consejos, e incluso de remedios para combatir el virus.

En este sentido sabemos por medio de la comunicación de la Policía y Guardia Civil que se han detectado cerca de 12.000 dominios fraudulentos, que incluso venden vacunas milagrosas y que, de momento, se ha detenido a 80 personas por estos fraudes. Pero solo con estos datos no sabemos si han aumentado o no, lo que sí sabemos, como indica uno de los responsables de la persecución de este tipo de delincuencia, es que más bien han virado hacia la utilización de esta crisis como reclamo de sus campañas y negaba que hayan aumentado los citado ciberfraudes.

Así con todo, la principal amenaza del cibercrimen es el ransomware, un tipo de malware que encripta (secuestra) datos en redes de ordenadores y en la nube, incluso. Por lo que en estos días se ha lanzado el mensaje de que se han detectado ataques de este tipo a hospitales españoles, en concreto a través de un tipo de malware llamado Netwalker, del que existe un análisis muy interesante por parte del CCN-Cert, donde se habla de la ciberdelincuencia organizada (Ransomware as a service) y que detrás de ello puede estar el grupo de cibercriminales de un cibercriminal conocido como “Bugatti”.

En este caso, en el programa Sierra Delta, el experto José María Ávalos dice que hay información en la que los cibercriminales han dicho que si el ransomware ataca a un hospital ellos darán su clave para el desencriptado y que no tenga consecuencias (todavía quedan cibercriminales con corazoncito).

Otro de los ciberriesgos de estos días tiene que ver con el aumento del teletrabajo. A saber, la principal amenaza radica en que los planes de acceso remoto de las empresas, sobre todo las pequeñas y medianas, se han tenido que hacer de un día para otro y pueden tener “agujeros” que puedan aprovechar los “cibermalos”, ya que el oro del Siglo XXI son los datos y obtener de manea rápida y sencilla datos de miles de empresas es un botín muy, pero que muy, suculento para los cibercriminales que no descansan.

Pero la parte buena es que para mitigar estos efectos desde la UDIMA se ha publicado, elaborado por el vicerrector David Lizcano, un decálogo para aumentar la ciberseguridad en el teletrabajo del que tenemos que tomar nota todos los teletrabajadores, tanto los habituales como los ocasionales, porque el principal factor de protección y vulnerabilidad es el humano en la ciberseguridad.

Estos posibles incrementos vistos hasta aquí, aunque aún no tengamos datos robustos que puedan avalar las tesis que mantenemos, y las evidencias sean débiles ahora mismo, sí entran dentro de las predicciones que podemos realizar con una de las teorías criminológicas más ampliamente evaluada, la teoría de las actividades cotidianas, de Marcus Felson y Lawrence E. Cohen, en la que para que se produzca un delito deben confluir en el mismo espacio y en el mismo tiempo tres actores: delincuente motivado, víctima propicia y ausencia de guardianes capaces.

Este postulado teórico nos indica que, si en el plano offline no hay movimiento, es difícil que haya delitos, pero, por contrapartida, en el plano online sí hay mayor movimiento, por lo que el encuentro de delincuentes cibermotivados y víctimas ciberpropicias será más factible, todo ello contado de manera muy ligera.

Para aumentar el conocimiento de este aspecto del aumento de la ciberdelincuencia no debemos dejar de visitar “Profiting from pandemics: COVID-19, changing routines and cyber crimes” de David Buil-Gil y colegas de la Universidad de Manchester.

Más allá de la delincuencia cibernética, algunos expertos, como el Profesor César San Juan, alertan del posible aumento de casos violencia intrafamiliar, teniendo en cuenta otra de las teorías más importantes para la explicación de la delincuencia, la teoría de la tensión de Robert K. Merton, en la que la acumulación de la tensión en los agresores produce una descarga de la misma a través de la violencia (dicho también de manera muy ligera).

Es por lo que en estos momentos, en los que se convive 24/7 con las parejas y los niños, puede producirse el aumento de los casos de violencia intrafamiliar; aunque, por otro lado, también pueden actuar una serie de controles sociales, como bien nos indica uno de los criminólogos más destacados en el plano académico actual, Pedro Campoy en su “¿Flu-ctuaciones delictivas? Los posibles efectos del COVID-19 en la criminalidad”.

Pues bien, ¿qué datos podemos aportar hasta el momento en cuanto a la violencia intrafamiliar?, por un lado que las denuncias por violencia de género han caído en picado, según fuentes policiales, aunque se pide la colaboración ciudadana para detectar posibles casos; y un aumento de las llamadas al teléfono de asistencia 016 de un 18% respecto al mes de febrero. En este sentido también han aumentado las llamadas al teléfono de la Fundación ANAR y dicen que han detectado 173 casos de violencia grave contra los menores en este tiempo de confinamiento. Para ampliar la información en este sentido no hay que perderse el primero de los webinar del Centro Crímina de la Universidad Miguel Hernández de Elche en el que los principales expertos en esta materia han expuesto sus puntos de vista.

Otros riesgos de los que nos alerta Europol tienen que ver con la delincuencia organizada contra la propiedad, en la que personas que se hagan pasar por sanitarios pueden visitar a ancianos que vivan solos y robar en su domicilio.

A pesar de que es una situación factible no he encontrado casos al respecto en España en  este tiempo; y también lo referente a la delincuencia organizada que trata de hacer negocio con material sanitario y otros bienes de primera necesidad, a este respecto Europol nos expone la “Operación Pangea de Interpol” en la que se desmantelaron 37 grupos criminales (121 detenidos) entre el 3 y el 10 de marzo dedicados a estas tareas y se cerraron 2500 links (websites, social media y online marketplaces) en los que se hacía este negocio fraudulento.

Además, de este gran problema no escapan las instituciones públicas que buscan desesperadamente material sanitario, como las declaraciones del Presidente de Lombardía (Italia) en las que indica que a ellos intentaron estafarlos y que está lleno de bandidos este mercado; o el caso de Bélgica, donde se ha estafado en la compra de mascarillas al gobierno. Aquí en España no estamos exentos de fraudes, un ejemplo es la incautación de 3.700 litros de gel hidroalcohólico en Cataluña, y quizás sería bueno contar con criminólogos expertos en esta materia antes de que el gobierno realice estas compras.

Para finalizar podemos hacer aquí un poquito de prospectiva para tratar de conocer qué pasará en un futuro cuando todo esto acabe. Un primer vaticinio, como nos indica Juan José Medina en el segundo de los Webinar del Centro Crímina, es que puede existir un repunte de la actividad criminal, como se ha visto tras varias catástrofes.

En este caso, también Pedro Campoy se hace eco de lo que sucedió en Nueva Orleans después del Katrina, con el repunte de la delincuencia interpersonal en mayor medida que el resto. Pero debemos ser cautos porque esta situación no se ha dado en la historia reciente y el factor de la globalidad está muy presente en la situación que estamos viviendo.

Veamos que más sucederá… porque estamos en un momento que todo es volátil e incierto (además de complejo y ambiguo) y seguro que nos trae muchas lecciones que debemos aprender. Y aquí me dejarán que adelante una de ellas, y no es otra que sin el conocimiento de la realidad (en el ámbito sanitario y de la delincuencia, o cualquier otro) no podemos ni intervenir, ni prevenir de una manera adecuada y eficaz.

Por si a alguien le ha quedado ganas de más implicaciones que se vislumbran el futuro entre criminalidad y crisis COVID-19, le invito a que eche otro ojo al tercero de los Webinar del centro Crímina en el que he tenido el honor de participar, y ni mucho menos que se pierda el #QuedateEnCasa Webinar de UDIMA Delincuencia y Crisis COVID-19 que impartiré el lunes 6 de abril a las 18:00 horas“.

Por último, también habría que añadir que “el contexto actual ha provocado un cambio forzoso en la forma de trabajar, los hábitos en el consumo y el ocio, así como en las relaciones interpersonales.  Como denominador común, un aumento exponencial de las horas dedicadas a internet y las tecnologías que, junto a la situación de confinamiento, han contribuido a que las formas tradicionales de delincuencia en la calle hayan cedido protagonismo a los cibercrímenes.

Ejemplos como las estafas informáticas (art. 248.2º a y b CP), que utilizan el COVID-19 como señuelo, constituyen una de las actividades ilícitas más frecuentes estas semanas. El denominado phishing consiste en la obtención fraudulenta de datos personales o bancarios mediante el envío fraudulento de comunicaciones electrónicas que suplantan la identidad de empresas, bancos e incluso instituciones públicas, como el Ministerio de Sanidad o la propia Organización Mundial de la Salud, para luego redirigir al usuario a una web falsa donde se produce el robo de datos. Europol y la ONU alertan de la proliferación de páginas que realizan promociones fraudulentas de material sanitario u ofrecen supuestos tratamientos milagrosos contra el coronavirus, lucrándose ilícitamente a costa de la vulnerabilidad y el miedo de la sociedad.

Quizás menos conocido sea el phishing mules. Particulares que, en el contexto de una falsa oferta de trabajo online, se prestan a recibir en sus cuentas bancarias transferencias de importes que proceden de la comisión de otros delitos –generalmente phishing­– para posteriormente remitirlas a los autores del delito origen, todo ello a cambio de una comisión. Conductas que podrían ser susceptibles de constituir un delito de blanqueo de capitales en su modalidad imprudente (art. 301.3 CP).

En el ámbito laboral, la implantación del teletrabajo constituye un potencial objetivo para los delitos de daños informáticos (art. 264 CP). Virus informáticos como spywares o todo tipo de malware acceden ilícitamente al sistema informático del usuario y bajo amenaza de destruir elementos del mismo solicitan el pago de un rescate. Los centros sanitarios se han convertido en un punto de mira para los hackers y las amenazas de bloqueo de sus sistemas y secuestro de información clínica, conscientes de que su valor cotiza al alza. Este último caso sería una modalidad agravada del delito (art. 264.2. 4º CP).

El incremento en el uso de las redes sociales u otras apps supone, asimismo, un factor clave en el aumento de la ciberdelincuencia, particularmente de las conductas conocidas coloquialmente como el sexting (art. 197.7 CP) -divulgación sin autorización de imágenes o videos de contenido íntimo o sexual de terceros- o el stalking (art. 172 ter CP) -acoso sistemático o conductas de acecho sociales pese a la oposición mostrada por la víctima que pueden ser llevadas a cabo a través de la red-.  Ambos delitos requieren previa denuncia de la víctima para su persecución. No obstante, en el primero de ellos, el Ministerio Fiscal podrá denunciar cuando la víctima sea menor de edad. Igualmente, el mayor acceso a la red durante estas semanas puede exponer a los menores a comportamientos delictivos como el childgrooming (art. 183 ter CP). En estos, un adulto, normalmente simulando ser menor, contacta con otro menor con el fin de ganarse su confianza para luego involucrarle en una actividad sexual, de la cual se pueden derivar otros ilícitos.

Las conductas apuntadas son solamente algunos ejemplos de los ciberdelitos más recurrentes. Con todo, será interesante ver si la tendencia al alza se mantiene una vez finalice la situación actual. Lo que queda claro es que, como sucede con el COVID-19, la ciberdelincuencia tampoco entiende de fronteras”.

FUENTES:

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s