CAPÍTULO IX

DATOS PERSONALES
Y CIBERSEGURIDAD EN
LA EMPRESA FINTECH
Incidentes de seguridad informática en la
empresa fintech
por Andrés Chomczyk y Pablo A. Palazzi

1. Introducción
Las empresas fintech, y en especial los bancos puramente digitales así
como las billeteras virtuales y los exchanges, están expuestos a actos de hac-
king e incidentes de seguridad de la más variada índole, como cualquier otra
empresa de base tecnológica. No adoptar las medidas de seguridad adecua-
da puede exponer a estas empresas a sanciones por parte del regulador1. Un
estudio sobre 52 empresas fintech realizado en 2018 en los Estados Unidos
demostró que muchas de ellas poseían vulnerabilidades en materia de segu-
ridad informática2.
Este artículo analiza las reglas sobre protección de datos personales, con
especial relación de la regulación de incidentes de seguridad en la empresa
fintech. Para ello, haremos especial referencia al anteproyecto de Ley de
Protección de Datos Personales en su versión remitida por el Poder Ejecu-
tivo Nacional al Congreso de la Nación el 19 de septiembre de 20183 (el
“Anteproyecto”).
El Anteproyecto no será analizado de forma aislada sino que será estu-
diado a la luz del Derecho Comparado, principalmente su fuente de inspira-
ción: el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo
de 27 de abril de 2016 relativo a la protección de las personas físicas en lo
que respecta al tratamiento de datos personales y a la libre circulación de
estos datos y por el que se deroga la Directiva 95/46/CE (el Reglamento
Europeo de Protección de Datos Personales o RGPD, de forma indistinta).

1 Cfr. Ariel Glasner y Bridget Mayer Briggs, “The FinTech Revolution: How Data
Breaches Can Result in Regulatory Enforcement Actions”, JD Supra, 14 de septiembre
de 2018 [http://bit.ly/2YuQTNX].
2 Cfr. Patrick Traynor, “Digital Finance and Data Security How Private and Secure Is
Data Used in Digital Finance?” (Center for Financial Inclusion, 12 de septiembre de
2018) [http://bit.ly/2K9mXxO].
3 El Anteproyecto remitido al Congreso Nacional puede ser consultado en el siguiente
enlace http://bit.ly/32XYEeX. El texto completo del anteproyecto se puede consultar
en el N.º 4 de la RLPDP.

219
Asimismo, mencionaremos algunos de los casos de data breach más notorios
existentes a la fecha de empresas fintech.
Hacemos notar que todo data breach o hacking de una empresa implica po-
ner en movimiento las obligaciones de notificar brechas de seguridad que es-
tán vigente en la mayoría de las legislaciones del mundo. En Argentina aún no
tenemos una norma que regule que debe hacerse ante un incidente de seguri-
dad, que implique o no datos personales pero existen obligaciones basadas en
la responsabilidad civil preventiva del Código Civil y Comercial de la Nación
que podrían orientar de forma provisoria que tiene que hacer una empresa
fintech cuando sufre un incidente. Por eso este artículo hará una comparación
de estas cuestiones respecto de la actual Ley N.º 25.326 de Protección de Da-
tos Personales y las novedades que aporta el Anteproyecto en la materia.

2. Protección de datos en la empresa fintech

Si bien la gestión de los incidentes de seguridad constituye uno de los
puntos más relevantes en materia de protección de datos en los últimos años,
particularmente impulsado por la cantidad de situaciones donde los datos
de las personas se han visto comprometidos, una compañía fintech también
debe dar pleno cumplimiento al resto de la normativa sobre esta materia.
Con la redacción actual de la Ley de Protección de Datos Personales, cree-
mos que los puntos más relevantes sobre los cuales es necesario prestar aten-
ción son: (i) la comunicación de información crediticia; y (ii) la formación de
perfiles crediticios. Ya en lo que hace al Anteproyecto podemos agregar los
siguientes temas: (iii) derecho a la portabilidad; y (iv) la toma de decisiones
automatizadas en función de un perfil crediticio.
Sobre la primera cuestión, recordamos que las empresas fintech forman
parte del sistema financiero y, por ello, resulta importante que estas estén
habilitadas a compartir la información crediticia de sus clientes para que
el público general pueda tomar una decisión informada sobre una posible
contraparte en función a su situación patrimonial. Al respecto, todas las en-
tidades que sean acreedoras podrán ampararse en el artículo 26 inciso 2 de
la Ley de Protección de Datos Personales para comunicar a los prestadores
de servicios de información crediticia la situación de sus clientes. Por otro
lado, ciertas empresas fintech, particularmente los proveedores no financie-
ros de crédito registradas ante el Banco Central de la República Argenti-

220
na (BCRA), están obligadas comunicar su cartera de clientes a esa entidad,
quien luego publica esa información en la Central de Deudores.
Por otro lado, un tema que suele cobrar relevancia es la formación de
perfiles crediticios para evaluar la concesión o no de un producto o servicio
financiero con información que exceda la contemplada por el artículo 26,
es decir, información de carácter patrimonial comunicada con arreglo a ese
artículo. Al respecto de este punto, la Ley de Protección de Datos no cuenta
con previsiones sobre este punto siendo por lo tanto de aplicación el régi-
men general y será necesario contar con una base legal así como también
dar cumplimiento al deber de información. Aún si es posible ampararse en
una de las excepciones al consentimiento, el responsable del tratamiento no
podrá evitar tener que dar cumplimiento con el deber de información, más
aún cuando este deber no cuenta con ningún tipo de dispensa como sí ocu-
rre en el RGPD en ciertos supuestos.
Existen otras cuestiones sobre las cuales las compañías fintech están pres-
tando mucha atención en el campo de la protección de datos personales. La
primera de ellas es el derecho a la portabilidad introducido por el RGPD, y
presente en el Anteproyecto. Este derecho le permite al titular de los datos
migrar su información personal de un responsable a otro, ya sea de forma di-
recta o mediante la entrega de los datos y la posterior comunicación al nuevo
responsable. La portabilidad de los datos es una iniciativa que no es extraña
al mundo fintech, fundamentalmente porque es uno de los estandartes del
movimiento de open banking para permitir la libre circulación de los usuarios
entre proveedores de servicios financieros evitando que estos sean rehenes de
una empresa y promover la competencia entre los participantes del ecosistema
fintech para tender a condiciones más beneficiosas para los clientes.
Por último, y en línea con lo mencionado anteriormente, el Anteproyec-
to, siguiendo los pasos del RGPD, establece ciertas limitaciones para la toma
automatizada de decisiones. Los casos de sistemas de reputación y crédito
están proliferando en todo el mundo, siendo China uno de los principales
focos de ello, y las dudas sobre cómo se usan los datos personales de las per-
sonas son cada vez más. Es innegable que los servicios financieros tienen una
particular importancia sobre la vida de las personas y que su denegación o
concesión pueden condicionar la realización de proyectos de vida: abrir una
empresa, comprar una casa, realizar un estudio universitario, etcétera. Si la

221
decisión queda en manos de un algoritmo usando procedimientos oscuros
e información no autorizada por el usuario, claramente tenemos una situa-
ción que puede dar lugar a grandes injusticias.
Habiendo realizado estas breves consideraciones sobre algunos de los
temas más relevantes que las empresas fintech tienen en sus agendas hoy en
materia de tratamiento de datos personales, pasaremos a reseñar el tema de
este artículo: los incidentes de seguridad. Para ello, haremos un breve repaso
de los casos más importantes de la región. Luego de ello, haremos unas con-
sideraciones generales sobre el fenómeno. Y finalmente, veremos cómo está
regulado la gestión de un incidente de seguridad en el Derecho local.

3. Casos de data breach más notorios en empresas fintech

latinoamericanas
3.1. Caso del hacking del Banco Inter de Brasil
En 2018, el Banco Inter de Brasil sufrió una extorsión por parte de un
grupo de hackers que se había hecho con una base de datos de 300.000
usuarios del banco. Este grupo de atacantes se contactó con el banco y exigió
un rescate a cambio de mantener en secreto el hecho que habían logrado
hackear al banco. Dado que la entidad financiera no aceptó negociar con
los delincuentes, el grupo de hackers envió una copia del archivo de 40 GB a
la revista Tecmundo4. Ante esa situación, la revista publicó lo sucedido y con-
firmó al público que el data breach involucraba al menos a 80.000 usuarios,
incluyendo a todos los empleados y ejecutivos del banco. La base de datos
apareció en la deep web y se vendía por 10 bitcoins (aproximadamente 70.000
dólares). Una particularidad del Banco Inter era que fue uno de los primeros
bancos de la región en mudar parte de su infraestructura a AWS5.
Ese mismo año Brasil había aprobado una ley de protección de da-
tos, fuertemente inspirada en el RGPD, pero a la fecha del incidente no
estaba vigente, con lo cual el banco no comunicó a sus usuarios de la
situación, como debería haber sucedido. En atención a lo acontecido,
un fiscal inició una acción civil contra el banco para entender el alcance

4 Cfr. Felipe Payão, “Banco Inter é extorquido e dados de clientes são expostos; invasão é
negada”, 4 de mayo de 2018 [http://bit.ly/2yjX7l9].
5 Cfr. “Brazil’s Banco Inter Data Breach Shakes Fintech Industry”, ManageEngine Blog
(blog), 10 de mayo de 2018 [http://bit.ly/2MrIxQT].

222
del data breach y obtener más información. Ese procedimiento terminó
dando lugar a un acuerdo por 1,5 millones de reales a fin de cerrar el
procedimiento6.

. . ta ue in orm tico al i tema financiero chileno

Durante buena parte de 2018 y principios de 2019, el sistema financiero
chileno sufrió una serie de ataques informáticos importantes: desde ataques a
puertas traseras que existían en la programación de los sistemas del Banco de
Chile,7 ataques internos de empleados desleales,8 hackeos tradicionales para ob-
tener tarjetas de crédito9 o incluso operaciones basadas en técnicas de ingeniería
social para obtener acceso a la red de procesamiento de pagos de ese país10.
Este conjunto de ataques nos demuestra que los vectores por los cuales
los atacantes pueden ingresar a los sistemas informáticos de una entidad
financiera son de amplia índole y la gestión de los riesgos debe ser inte-
gral. Es decir, la seguridad informática no solo debe enfocarse en factores de
software o hardware sino que deben contemplar el factor humano, que es la
variable que tiende a ser aprovechada por los hackers para ganar acceso a
los sistemas de la víctima.
Por otra parte, es del caso resaltar que en Chile no existía legislación de
protección de datos con obligaciones de notifica el inidente de seguridad a
los damnificados.

. . l ca o de odo ago en rgentina

Es posible también traer a colación el incidente de seguridad sufrido
por el sistema TodoPago en Argentina, en el cual los atacantes han podido
suplantar la identidad de diferentes personas, llegando incluso un caso a

6 Cfr. “Brazil’s Banco Inter Data Breach Shakes Fintech Industry”, ManageEngine Blog
(blog), 10 de mayo de 2018 [http://bit.ly/2MrIxQT].
7 Cfr. Angelica Mari, “Brazilian Bank Inter Pays Fine over Customer Data Leak”, ZDNet,
28 de diciembre de 2018 [https://zd.net/2Y804om].
8 Cfr. Camila Díaz S., “Entendiendo el ataque al Banco de Chile: ¿Qué diferencia a un
virus común de una vulnerabilidad en el sistema?”, Emol, 11 de junio de 2018, sección
Tecnología [http://bit.ly/2MlvsIV].
9 Cfr. Juan Manuel Harán, “Cuando la estafa se gesta en el interior de la institución: el reciente
caso del Banco de Chile”, WeLiveSecurity, 20 de julio de 2018 [http://bit.ly/2Oquyxu].
10 Cfr. Juan Manuel Harán, “Chile: masiva filtración de datos de tarjetas de crédito afecta a miles
de clientes de 18 bancos”, WeLiveSecurity, 26 de julio de 2018 [http://bit.ly/2LN2HVY].

223
tomar relevancia nacional,11 debido a la falta de medidas de seguridad para
una compañía fintech como puede ser un doble factor de autenticación o la
validación de la identidad del usuario. En buena medida, estos problemas
son producto de la falta de una solución de identidad digital que permita
acreditar de forma fehaciente a la persona que pretende hacer uso de los
servicios de la empresa involucrada.

3.4. Hacking de exchanges y billeteras virtuales de criptomonedas

Dentro del ecosistema fintech, la vertical de criptoactivos es una de las
que más incidentes de seguridad ha sufrido, quizás en buena medida pro-
ducto de deficientes prácticas de seguridad informática propias de empresas
que están dando sus primeros pasos así como también del incentivo que
hay detrás de estos ataques que permiten hacerse con activos digitales cuyo
rastreo puede resultar muy complejo12. El primer caso conocido de apro-
piación de criptomonedas que tomó relevancia internacional fue el ataque
al exchange japonés denominado Mt. Gox, el cual involucró una cantidad
superior al medio millón de Bitcoins equivalente a 368 millones de dólares
estadounidenses según la cotización de aquel momento. Además de ser el
primer caso importante de robo de criptomonedas, la caída de Mt. Gox
resultó en un disparador de reflexiones para toda la industria, ya que mos-
tró la importancia que reviste la ciberseguridad en materia de custodia de
criptoactivos, dando lugar a la oferta de soluciones de almacenaje de cripto-
monedas más robustas así como también a admitir la necesidad de controles
por terceros independientes como firmas de auditoría.
Este solo fue uno de los principales hurtos de criptomonedas dentro de
una lista mucho más larga y que sigue creciendo día a día, siguiendo la ten-
dencia general de los ataques informáticos a compañías tecnológicas,13 como

11 Cfr. “Cómo evitar que te vacíen la cuenta con una billetera electrónica trucha”, Clarín.
com, 16 de enero de 2018, sec. Tecnología [http://bit.ly/2YsriFz].
12 Kim Nilsson, “Breaking open the MtGox case, part 1”, 27 de julio de 2017 [http://bit.
ly/314JW46].
13 Para mayor detalle sobre el fenómeno de los incidentes de seguridad recomendamos
la lectura de: ChomcZyk, Andrés y Pablo A. PalaZZi, “La notificación de incidentes de
seguridad en el anteproyecto de ley de protección de datos personales”, RLPDP – Revista
Latinoamericana de Protección de Datos Personales, N.º 4, CDYT, Buenos Aires, 2017, p. 191-210.

224
puede apreciarse en publicaciones especializadas en la materia14. Simple-
mente para poner cifras sobre estos fenómenos, luego del incidente de Mt.
Gox, tuvieron lugar los ataques contra Coincheck y Bitfinex, por montos de
534 millones de dólares estadounidenses y 65 millones de dólares estadouni-
denses, respectivamente. Estos ataques pudieron prosperar por las ineficien-
tes medidas técnicas desplegadas por esas compañías para salvaguardar los
fondos de los usuarios y no por la inseguridad de la tecnología subyacente.
Es decir, se trata de actividades que podrían haber tenido lugar en otras
industrias con efectos equivalentes si no se adoptaban medidas de seguridad
informática como sucedió en estos casos.

3.5. Data breach e in orme comerciale el ca o ui a

El ecosistema fintech también está integrado por empresas que brindan
servicios colaterales o secundarios, como lo son las proveedoras de informes
comerciales. Al respecto de ello, una de las grandes compañías que sufrió un
incidente de seguridad en los últimos años ha sido Equifax. El incidente tuvo
su origen en el uso de software desactualizado y malas practicas de seguridad
(por ejemplo, las claves de administradores se guardaban en texto plano sin
encriptación). Esto dio lugar a un escándalo donde buena parte del comité
ejecutivo de la compañía tuvo que dejar sus funciones. El caso finalizó con una
multa de 700 millones de dolares impuesta por la Federal Trade Commision
en julio de 201915.
En Argentina, el incidente también tuvo repercusiones,16 en particular
porque el origen de la falla de seguridad fue el uso de la contraseña y usuario
por defecto para acceder a la base de datos interna de la compañía.

4. Consecuencias de los data breach

En la descripción de los hechos de los casos analizados previamente pu-
dimos apreciar algunos de los efectos que se derivan de los incidentes de

14 Martin Armstrong, “Infographic: The Biggest Crypto Heists”, Statista Infographics, 21

de septiembre de 2018 [http://bit.ly/310hRuA]. “Bitcoin Scams and Cryptocurrency
Hacks List”, BitcoinExchangeGuide [http://bit.ly/2K32LPl].
15 “Equifax to Pay $575 Million as Part of Settlement with FTC, CFPB, and States Related
to 2017 Data Breach” [http://bit.ly/2YDZwpS].
16 “Hackearon la empresa que maneja el veraz y la firma relativizó el ataque”, Télam, 13
de septiembre de 2017, sec. Tecnología [http://bit.ly/2LOKXJZ].

225
seguridad para el responsable o el encargado del tratamiento, según el caso.
A continuación pasamos a listar algunas de las consecuencias que se derivan
de estos hechos junto con una breve explicación de estos:
a) Notificación al regulador. Como consecuencia directa del incidente,
en la medida que sea requerido por la normativa local, la víctima del data
breach deberá cursar notificación a la autoridad de aplicación en la materia.
Ello implica dos gastos para la entidad que sufrió el incidente: (i) gastos de
asesoría técnica (legal, informática, etcétera) para notificar de manera ade-
cuada al regulador; y (ii) potenciales sanciones por parte del regulador en
el caso que este considere que el incidente fue producto de alguna acción u
omisión del responsable o encargado del tratamiento.
b) Notificación a los afectados. Muchas normativas, incluyendo el Ante-
proyecto, receptan la obligación en cabeza del responsable del tratamiento
de informar a los titulares de los datos del data breach a fin de prevenirlos y
permitir que estos adopten medidas en pos de la protección de sus datos
personales, como podría ser la modificación de claves de acceso a cuentas
que hayan sido comprometidas.
c) Indemnización por gastos de afectos. En línea con lo anterior, en mu-
chos casos se exige que el responsable del tratamiento que vio su base de
datos comprometida por el ataque informático cargar con los costos de las
medidas que sugirió adoptar a los titulares de los datos personales involucra-
dos en el incidente de seguridad para prevenir daños mayores. Por ejemplo,
si en el ataque informático se vieron comprometidos datos sobre tarjetas de
crédito y los titulares de los datos se vieron obligados a solicitar nuevos plás-
ticos a los emisores de estos, es normal que el responsable del tratamiento
deba costear los gastos derivados de la afectación sufrida por su culpa.
d) Daños sufridos directamente como consecuencia del ataque. En este
sentido podemos señalar, como hemos en varios casos tales como el de Sony
Pictures, que los daños exceden muchas veces las afectaciones a los datos
personales sino que incluso se extienden a daños materiales del hardware
vulnerado, así como también a través del robo de información confidencial
o de material protegido por derecho de autor.
e) Daño reputacional. Producto del data breach, la entidad ha demostra-
do la falta de adopción de medidas de seguridad informáticas lo suficiente-
mente robustas. Así como podría ocurrirle a un banco que su reputación se

226
vea afectada producto de un robo sufrido por la falta de implementación de
los resguardos correspondientes para proteger los fondos de sus clientes, lo
mismo podría pensarse cuando un responsable del tratamiento sufre una
vulneración en sus sistemas informáticos. Es decir, podría verse afectada su
reputación entre los miembros de la industria en la cual la empresa afectada
se desenvuelve, así como también frente al público consumidor.
f) Necesidad de nuevos tipos de seguros. Como consecuencia de la apari-
ción de estos nuevos riesgos, la industria del seguro ha respondido a la demanda
de nuevos productos que cubran específicamente este tipo de riesgos. El grave
problema aquí es dimensionar la cobertura de los daños por perdida de datos.

5. ¿Cómo están regulados los incidentes de seguridad en

Argentina?

5.1. Código Civil y Comercial de la Nación

La Ley de Protección de Datos Personales vigente N.º 25.326 no con-
templa la gestión ni la notificación de un incidente de seguridad que involu-
cre datos personales. Sin perjuicio de ello, el Anteproyecto sí atiende esta si-
tuación y será analizado a continuación. Ahora bien, mientras no tengamos
las normas previstas en el Anteproyecto, es necesario determinar que hacer
con un incidente de seguridad que tiene lugar hoy. Al respecto, cabe señalar
que es posible dar una solución provisoria a esta situación usando el derecho
común hasta tanto contemos con una solución apropiada en la materia con
la sanción del Anteproyecto.
En este sentido, el artículo 1710 del Código Civil y Comercial de la Na-
ción (CCyCN) establece el deber de prevención del daño. La citada norma
dispone que toda persona tiene el deber, en cuanto de ella dependa, de: (a)
evitar causar un daño no justificado; (b) adoptar, de buena fe y conforme las
circunstancias, las medidas razonables para evitar que se produzca un daño,
o disminuir su magnitud; si tales medidas evitan o disminuyen la magnitud
de un daño del cual un tercero sería responsable, tiene derecho a que este le
reembolse el valor de los gastos en que incurrió, conforme a las reglas del en-
riquecimiento sin causa; y (c) no agravar el daño, si ya se produjo.
Esta norma, que se encuentra vigente, resulta aplicable a las empresas
fintech como a cualquier otra entidad por su carácter de legislación de fondo

227
común. En el caso, de saber que un daño podrá producirse por una falla de
seguridad, la empresa debe adoptar conforme las circunstancias, las medidas
razonables para evitar que se produzca un daño, o disminuir su magnitud.
Por ejemplo, deberá avisar al titular de las cuentas “robadas” o “hackeadas”
que cambie su clave o tome recaudos para impedir su uso no autorizado.
Hasta el momento no tenemos jurisprudencia especializada en la apli-
cación de esta norma a los incidentes de seguridad pero no vemos que su
tratamiento deba ser muy diferente de los casos comunes donde se exigió el
cumplimiento con el deber de prevenir un daño.
Una cuestión que es importante remarcar es que en el supuesto de que
sea sancionado el Anteproyecto, la aplicación del artículo 1710 del CCyCN
seguirá siendo exigible, puesto que se trata de derecho común y no de una nor-
mativa especial. El Anteproyecto presenta un esquema de sanciones adminis-
trativas especiales que no impide la reclamación de una indemnización en un
juicio civil ordinario por daños y perjuicios basados en el incumplimiento de
este deber. Si bien la adopción de las medidas requeridas por el Anteproyecto
debería ser suficiente para cumplir con este deber y, por lo tanto, rechazar una
potencial reclamación, tenemos que esperar si los jueces consideran que las
obligaciones impuestas por el Anteproyecto alcanzan o es necesario un están-
dar diferente para juzgar el cumplimiento de esta obligación.

. . l nte royecto de ey de rotección de ato er onale

El Anteproyecto dispone que el responsable del tratamiento, así como
también el encargado del tratamiento en caso de existir, debe adoptar las
medidas pertinentes, a su criterio, para garantizar la seguridad de los datos
personales que se encuentren en la base de datos. Actualmente, por el dicta-
do de la Resolución 47/2018, contamos con régimen bastante similar.
El artículo 19 del Anteproyecto, bajo el título “Principio de seguridad
de los datos personales”, dispone: “El responsable del tratamiento y, en su
caso, el encargado, deben adoptar las medidas técnicas y organizativas que
resulten necesarias para garantizar la seguridad y confidencialidad de los
datos personales, de modo de evitar su adulteración, pérdida, consulta o tra-
tamiento no autorizado, y que permitan detectar desviaciones, intencionales
o no, de información, ya sea que los riesgos provengan de la acción humana
o del medio técnico utilizado.

228
 ”El responsable del tratamiento debe adoptar las medidas de seguridad apli-
cables a los datos personales que trate, considerando, al menos, los siguientes
factores: a) el riesgo inherente por el tipo de dato personal; b) el carácter sensi-
ble de los datos personales tratados; c) el desarrollo tecnológico; d) las posibles
consecuencias de un incidente de seguridad para los titulares de los datos; e) los
incidentes de seguridad previos ocurridos en los sistemas de tratamiento”.
El lenguaje del artículo 19 del Anteproyecto tiene que ser leído de forma
sistemática con el resto de los artículos, en particular con el artículo 10, titu-
lado “Principio de responsabilidad proactiva”,17 el cual habla de la obliga-
ción de estos sujetos —responsable y encargado— “de adoptar las medidas
técnicas y organizativas apropiadas a fin de garantizar un tratamiento ade-
cuado de los datos personales y el cumplimiento de las obligaciones dispues-
tas por la presente ley, y que le permitan demostrar a la autoridad de control
su efectiva implementación”. Es decir, el artículo 19 del Anteproyecto es otra
expresión del principio de accountability, introducido por el RGPD y recepta-
do por el regulador local a la hora de proponer el Anteproyecto.
Analizando el artículo 19 del Anteproyecto, podemos reparar en las si-
guientes cuestiones. En primer lugar, la obligación de adoptar las acciones
adecuadas para velar por la seguridad y confidencialidad de los datos pesa
tanto sobre el responsable como sobre el encargo del tratamiento. Respecto
a las medidas que estos sujetos obligados deben adoptar para garantizar la
seguridad y confidencialidad de los datos, el Anteproyecto sigue una redacción
bastante similar a la que presenta en este tema actualmente la Ley de Protec-
ción de Datos Personales en su artículo 9. La diferencia con el actual texto
normativo está dada a partir del segundo párrafo y que, en buena medida, está
relacionado con la introducción del principio de responsabilidad proactiva y
la derogación de las medidas de seguridad por nivel de riesgo al que están
sometidos los datos; las medidas de seguridad en el Anteproyecto, como así
también sucede en el RGPD, deben ser adoptadas caso por caso por las parti-
cularidades que presenta cada tratamiento de datos en particular.

17 Recomendamos la lectura de José Alejandro Bermudéz Durana, “El principio de

Accountability y el anteproyecto de protección de datos de Argentina: ¿nuevo paradigma
global de protección de datos personales?”, Revista Latinoamericana de Protección de Datos
Personales, Colección Derecho y Tecnología, 4 (2017): 89-101.

229
 El Anteproyecto le impone al responsable y, aunque no lo mencione en
este párrafo, también al encargado la obligación de considerar, a la hora de
adoptar criterios para el tratamiento de datos, los siguientes temas: “a) el
riesgo inherente por el tipo de dato personal; b) el carácter sensible de los
datos personales tratados; c) el desarrollo tecnológico; d) las posibles conse-
cuencias de un incidente de seguridad para los titulares de los datos; e) los
incidentes de seguridad previos ocurridos en los sistemas de tratamiento”.
Estas medidas a adoptarse también deben respetar lo establecido en el artí-
culo 38 del Anteproyecto, el cual establece que toda medida debe garantizar
los datos personales desde el diseño de la base de datos y por defecto. En este
sentido, el Anteproyecto sigue muy de cerca lo establecido en los artículos 25
y 32 del Reglamento Europeo de Protección de Datos Personales.
Si bien las cuestiones a considerar indicadas por el Anteproyecto son
meramente enunciativas, podemos incluir también, siguiendo al artículo 32
del Reglamento Europeo de Protección de Datos Personales, las siguientes
variables a la hora de diseñar e implementar las medidas de seguridad de
los datos por parte del responsable así como del encargado del tratamiento:
(i) la seudonimización y el cifrado de datos personales; (ii) la capacidad de
garantizar la confidencialidad, integridad, disponibilidad y resiliencia per-
manentes de los sistemas y servicios de tratamiento; (iii) la capacidad de
restaurar la disponibilidad y el acceso a los datos personales de forma rá-
pida en caso de incidente físico o técnico; y (iv) un proceso de verificación,
evaluación y valoración regulares de la eficacia de las medidas técnicas y
organizativas para garantizar la seguridad del tratamiento.
Ahora, si bien el Anteproyecto —así como también lo hace la Ley de
Protección de Datos Personales— establece la obligación al responsable y
al encargado del tratamiento de adoptar conductas para velar por la segu-
ridad de los datos, la realidad, tal como hemos repasado al principio de este
comentario, nos demuestra que muchas veces las medidas de seguridad son
superadas y violadas por atacantes, quienes lograron hacerse con los datos
personales que están depositados en la base de datos. Ante esta situación, y
siguiendo al Reglamento Europeo de Protección de Datos Personales, el An-
teproyecto establece la obligación de informar estos incidentes de seguridad.
Por otro lado, el artículo 20 del Anteproyecto, bajo el título “Notificación
de incidentes de seguridad”, dispone: “En caso de que ocurra un incidente de

230
seguridad de datos personales, el responsable del tratamiento debe notificarlo
a la autoridad de control sin dilación indebida y, de ser posible, a más tardar
setenta y dos (72) horas después de que haya tenido constancia del incidente,
a menos que sea improbable que dicho incidente de seguridad constituya un
riesgo para los derechos de los titulares de los datos. Si la notificación a la auto-
ridad de control no tiene lugar en el plazo de setenta y dos (72) horas, deberá
ir acompañada de indicación de los motivos de la dilación.
”De igual manera, el responsable del tratamiento también debe informar
al titular de los datos sobre el incidente de seguridad ocurrido, en un lenguaje
claro y sencillo, cuando sea probable que entrañe altos riesgos a sus derechos.
”La notificación debe contener, al menos, la siguiente información: a) la
naturaleza del incidente; b) los datos personales que pueden estimarse com-
prometidos; c) las acciones correctivas realizadas de forma inmediata; d) las
recomendaciones al titular de los datos acerca de las medidas que éste pueda
adoptar para proteger sus intereses; e) los medios a disposición del titular de
los datos para obtener mayor información al respecto.
”El responsable del tratamiento debe documentar todo incidente de se-
guridad que ponga en alto riesgo los derechos de los titulares de los datos
personales ocurrido en cualquier fase del tratamiento de datos e identificar,
de manera enunciativa pero no limitativa, la fecha en que ocurrió, el motivo
del incidente, los hechos relacionados con este y sus efectos y las medidas
correctivas implementadas de forma inmediata y definitiva”.
En ambos casos, las normas citadas son de aplicación cuando tenemos un
tratamiento de datos personales. Cabe entonces hacer una aclaración sobre los
incidentes de seguridad, respecto de los conceptos que vamos a manejar en esta
sección: no todas las violaciones a las medidas de seguridad dispuestas sobre
los datos personales serán una violación a los datos personales. Podría darse el
caso, por ejemplo, de que la falla de seguridad implique un acceso a datos no
personales, como podría ser un secreto comercial. Con lo cual, el artículo 20
del Anteproyecto no es aplicable para los casos en los que, como consecuencia
del incidente, se hubiera producido una afección sobre datos anónimos, datos
no personales, bases de datos con informes analíticos o estadísticos, entre otros.
El artículo bajo análisis establece que en el caso de un incidente de seguri-
dad, el responsable del tratamiento debe notificarlo a la autoridad de control a
la brevedad y hasta dentro de un plazo de 72 horas después de haber tomado

231
conocimiento del incidente. La norma establece una única excepción a este
plazo máximo que en el caso que la violación seguridad no constituya un ries-
go para los derechos de los titulares de los datos, en cuyo caso el responsable
deberá notificar oportunamente al regulador y dar explicaciones de porque no
hizo la denuncia en término. Es decir, debe transmitir este motivo a la auto-
ridad de control, quien será la encargada de determinar si la razón otorgada
por el denunciante se encontraba debidamente fundada o si efectivamente el
incidente de seguridad afectó los derechos de los titulares de los datos. Al res-
pecto de esta primera parte del artículo, el Anteproyecto sigue casi textual al
artículo 33 del Reglamento Europeo de Protección de Datos.
Una de las principales preguntas que nos hacemos sobre quién se en-
cuentra habilitado a realizar una denuncia por un incidente de seguridad es
si los titulares de los datos se encuentran habilitados a realizar la denuncia
ante la autoridad de control. Si bien el artículo 20 del Anteproyecto solo
habla del responsable del tratamiento, creemos que los titulares de los datos
podrían realizar una denuncia del data breach, en virtud del artículo 71 del
Anteproyecto, que establece la posibilidad de la autoridad de control de ini-
ciar expedientes a instancias de denuncias de terceros, como podrían ser los
afectados. Dadas las características de Internet y las redes sociales, es común
encontrarse con que los atacantes publiquen el resultado de sus acciones al
público en general y sea así que los titulares de los datos tomen conocimiento
de la afectación de sus derechos con anterioridad a cualquier comunicación
pública que haga el responsable de tratamiento.
La segunda pregunta que nos hacemos sobre quiénes deben y/o pueden
reportar filtraciones de información por violación a las medidas de seguri-
dad es si los encargados del tratamiento también están alcanzados por esta
obligación. Creemos que, a pesar de no estar expresamente referenciados
por el artículo 20 del Anteproyecto, estos sí están incluidos por la norma por
su posición respecto de los datos personales de los titulares de los mismos.
Haciendo una lectura sistemática del articulado del Anteproyecto, creemos
que es lógica esta conclusión cuando el artículo 19 obliga a los encarga-
dos del tratamiento a adoptar medidas de seguridad y confidencialidad de
los datos, más aún cuando las medidas deben contemplar las conclusiones
que el encargado del tratamiento obtuvo a partir de incidentes de seguridad
previos. Es decir, la misma normativa en el artículo anterior reconoce que

232
los encargados del tratamiento pueden ser víctimas de incidentes de segu-
ridad. Lo consecuente sería que estos también están obligados a reportar
estas cuestiones en idénticos términos que los responsables del tratamiento.
Por su parte, el RGPD adopta otro enfoque donde todas las notificaciones
deben ser cursadas por el responsable a partir de la información que le pro-
porcione el encargado cuando el incidente de seguridad involucre datos que
el responsable le haya encomendado su tratamiento.
La notificación a la autoridad, siguiendo con el texto del artículo 20 del
Anteproyecto, requiere que contenga cierta información mínima para que
la autoridad pueda tomar conocimiento del hecho y determinar si el respon-
sable, o en su defecto el encargado del tratamiento, han actuado de forma
correcta o si es necesario que la autoridad de control disponga la adopción
de medidas adicionales o diferentes a las dispuestas por quien ha sufrido el
ataque y la consecuente vulneración a las medidas de seguridad. En este
sentido, pasaremos a continuación a analizar los requisitos que establece la
normativa para las notificaciones.
En primer lugar, la comunicación del incidente de seguridad debe mencio-
nar las características del hecho, en particular su naturaleza, así como también
los datos personales comprometidos. Estos requisitos están en línea con el pri-
mer requisito junto con el subinciso a) del inciso 3 del artículo 33 del Reglamen-
to Europeo de Protección de Datos Personales, el cual amplía un poco más que
debemos entender por “naturaleza del incidente” y “datos personales involucra-
dos”. En este sentido, la notificación debe referenciar el tipo de ataque sufrido,
las categorías y el número aproximado de interesados afectados, y las categorías
y el número aproximado de datos personales afectados de cada titular.
Segundo, se tiene que informar a la autoridad de control que ha hecho el
responsable o encargado del tratamiento para revertir la violación a las me-
didas de seguridad. Aquí nuevamente vemos el principio de responsabilidad
proactiva en funcionamiento al imponer a la entidad que manipula los datos
la obligación de tomar el curso de acción que estime más idóneo para lograr
la protección de los datos de los titulares afectado. En los considerandos, en
particular en el considerando 85, del Reglamento Europeo de Protección de
Datos Personales, se repara en la suma importancia que tienen estas medi-
das iniciales que tome el responsable o encargado del tratamiento para con-
tener el ataque. No adoptar las medidas pertinentes puede “entrañar daños

233
y perjuicios físicos, materiales o inmateriales para las personas físicas, como
pérdida de control sobre sus datos personales o restricción de sus derechos,
discriminación, usurpación de identidad, pérdidas financieras, reversión no
autorizada de la seudonimización, daño para la reputación, pérdida de con-
fidencialidad de datos sujetos al secreto profesional, o cualquier otro per-
juicio económico o social significativo para la persona física en cuestión”18.
En tercer lugar, no solo el responsable del tratamiento debe adoptar medidas
para proteger los datos de los titulares sino que además debe realizar recomen-
daciones a las personas cuyos datos se encontraron afectados para la protección
de sus derechos. En este sentido, cuando el responsable comunique la violación
de las medidas de seguridad y la afectación de los datos, también debe comuni-
car las recomendaciones que ha realizado a los titulares de los datos.
Por último, la notificación debe mencionar los medios que el responsable
del tratamiento le indicó al titular de los datos para que este pudiera tomar
mayor información respecto del caso. Creemos que aquí hubiera adecuado
incluir que, en caso de contar con delegado de protección, sea este el punto
de contacto con los titulares de los datos por la especialidad de este emplea-
do, así como ocurre en otros ámbitos como el financiero con el responsable
de relaciones con los clientes para cualquier tipo de consultas relativas al
área en cuestión.
Ahora, el reporte a la autoridad de control es solo una cara de las ac-
tividades que debe realizar el responsable o el encargado del tratamiento,
según el caso, cuando ocurre un data breach. La otra cara es la notificación al
titular del dato del hecho dado que esta situación podría ocasionarle un per-
juicio y este tiene derecho a conocer la realidad de los hechos para disponer
todas las medidas que estime pertinentes a fin de evitar daños mayores. Por
ejemplo, en el caso del incidente de seguridad sufrido por LinkedIn, dicha
compañía procedió a avisar a sus usuarios para que estos pudieran tomar
medidas como cambiar sus contraseñas para evitar accesos a sus cuentas por
parte de terceros que tuvieran los datos sobre los cuales el responsable del
tratamiento perdió el control.
Esta obligación debe ser cumplida empleando términos que sean claros
y entendibles para el usuario final, señalando, y según la redacción actual

18 Considerando 85 del Reglamento Europeo de Protección de Datos Personales.

234
del Anteproyecto, sólo cuando la filtración de información implique un alto
riesgo a los derechos del titular de los datos, de igual manera que lo hace la
normativa europea, que establece que “cuando sea probable que la viola-
ción de la seguridad de los datos personales entrañe un alto riesgo para los
derechos y libertades de las personas físicas, el responsable del tratamiento
la comunicará al interesado sin dilación indebida”.
Para interpretar las situaciones que no implican “alto riesgo” a los derechos
de los titulares de los datos, el Reglamento Europeo de Protección de Datos Per-
sonales en su artículo 34 ofrece algunas pautas interpretativas de casos, las cuales
son: (i) cuando “el responsable del tratamiento ha adoptado medidas de protec-
ción técnicas y organizativas apropiadas y estas medidas se han aplicado a los da-
tos personales afectados por la violación de la seguridad de los datos personales,
en particular aquellas que hagan ininteligibles los datos personales para cualquier
persona que no esté autorizada a acceder a ellos, como el cifrado”; (ii) cuando “el
responsable del tratamiento ha tomado medidas ulteriores que garanticen que
ya no exista la probabilidad de que se concretice el alto riesgo para los derechos
y libertades del interesado”; y (iii) cuando “suponga un esfuerzo desproporcio-
nado”, situación que dará lugar a la posibilidad de “una comunicación pública
o una medida semejante por la que se informe de manera igualmente efectiva a
los interesado”. Si bien el Anteproyecto no ha incluido estas “pautas interpretati-
vas”, consideramos que en la práctica serán una referencia de suma utilidad para
orientar la actividad de los profesionales, sin perjuicio de la posibilidad que tendrá
el regulador de fijar criterios similares en normativa reglamentaria.
A diferencia de lo que ocurre en el Anteproyecto, el Reglamento Euro-
peo de Protección de Datos Personales establece que la autoridad de control
podrá, cuando la violación no hubiese sido comunicada, exigirle al responsa-
ble que le informe al titular del dato del ataque a la base de datos cuando a
criterio de la autoridad exista una situación de alto riesgo. No pensamos que
esta sea una cuestión que pueda ser resuelta por la normativa reglamentaria
porque las facultades de actuar de la autoridad de control son dadas por ley
formal y hacerlo implicaría darle al regulador potestades que el legislador
no quiso darle. Por lo tanto, una solución adecuada sería la modificación del
Anteproyecto en este punto para incluir esta facultad.
Creemos que en este punto no se deberían hacer distingos sobre los inci-
dentes y el titular de los datos debería conocer todos los casos que ocurren,

235
con independencia de la gravedad que reviste el hecho para sus derechos.
Además, quién mejor que el titular de los datos para determinar si el inci-
dente puede o no implicar una situación de alto riesgo para sus datos perso-
nales y sus derechos en general. Siguiendo con el ejemplo anterior del caso
LinkedIn, no es el mismo riesgo para una persona que está siendo usuario
activo de la red social en pleno proceso de búsqueda laboral que alguien que
solo había abierto una cuenta y no la había utilizado demasiado.
Dado el cambio en el espíritu del Anteproyecto respecto de la Ley de
Protección de Datos Personales, en particular debido a la introducción del
principio de la responsabilidad proactiva, se ha incorporado una obligación
para los responsables y encargados del tratamiento de mantener registros
de todas las violaciones a las medidas de seguridad dispuestas, tal como se
desprende la parte final del artículo 20. En este sentido, esta obligación de
documentar los incidentes de seguridad pesa sobre todas las etapas del trata-
miento y debe contemplar, como mínimo, “la fecha en que ocurrió, el moti-
vo del incidente, los hechos relacionados con éste y sus efectos y las medidas
correctivas implementadas de forma inmediata y definitiva”.
Ahora, cabe estudiar qué pasa cuando el responsable o el encargado del
tratamiento no han actuado conforme lo exige la normativa y se encuentran
en una situación que los hace pasibles de ser sancionados. En este sentido,
serían de aplicación las sanciones previstas en el artículo 76 del Antepro-
yecto, las cuales son: “[…] a) apercibimiento; b) multa que podrá alcanzar
el equivalente a quinientos (500) Salarios Mínimo Vital y Móvil vigentes
al momento de la imposición de la sanción; c) suspensión de las actividades
relacionadas con el tratamiento de datos hasta por un término de seis (6)
meses; en el acto de suspensión se indicarán los correctivos que se deberán
adoptar; d) cierre temporal de las operaciones relacionadas con el trata-
miento de datos una vez transcurrido el término de suspensión sin que se
hubieren adoptado los correctivos ordenados por la autoridad de control;
e) cierre inmediato y definitivo de la operación que involucre el tratamiento
de datos sensibles […]”. Estas pueden recaer tanto sobre el responsable del
tratamiento como del encargado.
Sin perjuicio de que el Anteproyecto no establece que sanciones serían
aplicables a los incidentes de seguridad, entendemos que la normativa re-
glamentaria determinará la gravedad de la infracción que representan los

236
incidentes de seguridad. Siguiendo con esa línea, es probable que los inci-
dentes de seguridad sean calificados como infracciones muy graves y, por lo
tanto, pasibles de las máximas sanciones dado el daño que pueden producir
en materia financiera.

5.3. Regulaciones del BCRA

A mediados del año 2019, el BCRA dispuso la obligatoriedad de la co-
municación de todo incidente de seguridad a la Gerencia de Auditoría Ex-
terna mediante el dictado de la Comunicación “B” 11847. Si bien la norma
esta dirigida exclusivamente a las entidades financieras, y no así a las com-
pañías fintech que no operen bajo esa figura legal, es interesante detenernos
brevemente sobre ella ya que constituye la primera norma que impone este
deber en nuestro país de forma expresa, pudiendo ser la base para una fu-
tura ampliación de su objeto a otras entidades bajo el paraguas del BCRA
pero que formen parte del ecosistema fintech.
Es importante remarcar que el BCRA en el texto de la comunicación
bajo análisis parece reconocer que la gestión de incidentes de seguridad es
parte de la vida misma de los sistemas de información, con lo cual ello mo-
tiva a regular como debe actuar la entidad financiera frente a este hecho,
es decir, el BCRA ha optado por reconocer que un sistema de información
puede fallar y que lo prudente es tener previsto que hacer frente a esa situa-
ción para paliar las posibles afectaciones y perjuicios que se puedan sufrir.
El concepto de incidente de seguridad previsto por el BCRA en esta
norma esta conceptualizado como “todo incidente relevante que genere: (i)
la imposibilidad de brindar servicios a clientes, o la interrupción significativa
de los mismos; (ii) la incapacidad de cumplir con las obligaciones de la enti-
dad en relación con el funcionamiento de los mercados en los que opera; (iii)
o el compromiso de datos de información financiera o de clientes”.
Como es posible ver, la noción de incidente de seguridad fijada por el
BCRA excede el marco de los datos personales y su foco esta puesto en la
protección de los sistemas de información del sistema financiero en sentido
amplio, siendo la potencial filtración de datos de clientes uno de los supues-
tos que dispara tener que dar cumplimiento a la norma.
De manera similar a lo que ocurre en el Anteproyecto, el reporte a ser
enviado al BCRA debe contener, como mínimo, la siguiente información: (i)

237
fecha y hora de detección del evento; (ii) descripción del evento; (iii) sistemas
y servicios involucrados; (iv) canales de atención al cliente afectados; y (v)
contactos. Además de esta información, el BCRA se reserva la facultad, de
forma prudente, de solicitar más información sobre las medidas adoptadas
por la entidad financiera para resolver el incidente de seguridad.
A modo de cierre sobre este punto, esta obligación impuesta por el
BCRA no quita que la entidad financiera también debería dar cumplimien-
to a las recomendaciones fijadas por la AAIP en su Resolución 47/2018
sobre la notificación de incidentes de seguridad a la AAIP. Sobre esta cues-
tión, el alcance y tipo de incidentes a notificar serán más reducidso ya que
solo deberían informarse aquellos que involucren datos personales por las
competencias que tiene la AAIP a su cargo.

6. Conclusiones
Como hemos visto aquí, la protección de datos personales es un desafío
compuesto por diferentes retos que todas las empresas tecnologías tienen
que resolver; quizás uno de los principales desafíos sea cómo cuidar la infor-
mación que los titulares de los datos confían en esas entidades.
Los modelos regulatorios están tendiendo a dejar en manos de las enti-
dades que tratan datos personales la determinación de las medidas de segu-
ridad informática a adoptar para garantizar que los datos no sufran ningún
tipo de afectación sobre su confidencialidad, disponibilidad o integridad. En
ese sentido, las regulaciones también reconocen que estas medidas de segu-
ridad no son perfectas y los incidentes pueden tener lugar.
Es por ello que se establece la obligatoriedad de reportar cuando eso
sucede por dos motivos: (i) por un lado, poner en conocimiento al regula-
dor de la situación para que este pueda juzgar la conducta de la entidad y
determinar si hizo lo que debía o no; y (ii) por otro lado, avisar al particular
para que este pueda tomar las medidas necesarias a fin de resguardar sus
datos y evitar sufrir un perjuicio. Ahora bien, esta obligación es reciente y
no todas las regulaciones están al día con ello, como es el caso de la Ley de
Protección de Datos Personales. Si bien el Anteproyecto quiere resolver este
atraso regulatorio, la realidad es que aún este no es una norma jurídica. Sin
embargo, existen remedios, como el deber de prevenir daños del CCyCN,
que brindan herramientas para paliar la situación actual.

238
 Asimismo, otros reguladores, como el BCRA, también han tomado nota
de la situación y han, dentro de sus competencias, realizado las modifica-
ciones regulatorias necesarias. En todo evento, el panorama en materia de
incidentes de seguridad en nuestro país es claro y todos los esfuerzos norma-
tivos están yendo hacia el mismo lugar: la protección del titular de los datos.

239
Ciberseguridad y servicios financieros
por Marcela Pallero

1. Introducción
El campo de la seguridad informática fue creciendo y su alcance se am-
plía en tanto se expande el uso de la tecnología en toda la extensión de la
vida moderna. Esta disciplina brinda las herramientas técnicas y procedi-
mentales para dotar de seguridad a los sistemas de información en los que la
información se transporta, procesa y almacena.
Hay una creencia acerca de la seguridad informática que la relega a
los aspectos puramente técnicos, pero en la actualidad y con el tiempo esta
visión ha ido cambiando de manera rápida desde los aspectos técnicos hacia
los aspectos de gestión y, consecuentemente, a la inclusión de la temática en
los aspectos de gobierno de las organizaciones.
Así, también se extiende a otros ámbitos de estudio, porque si bien
en sus inicios fue puramente técnico, cuando la tecnología se encuentra
transparente en todo el quehacer de los individuos, los riesgos que trae
aparejada la tecnología, también requieren otros campos de trabajo, tal
como se muestra en la reciente publicación denominada “Cultura de la
ciberseguridad”,1 en la cual el tema se aborda partiendo del estudio del
comportamiento humano como individuo y en sociedad y las conductas
que pueden adoptarse para lograr un entorno confiable, mediante la con-
cientización de esos riesgos.
Sin embargo, los problemas de seguridad informática y, en particular,
los delitos informáticos ya forman parte de un problema mayor, que no
se detiene en las organizaciones ni en las fronteras nacionales; estos pro-
blemas afectan a las sociedades y tienen características muy particulares
respecto al resto de los problemas ya que están muy relacionados con las
característica de las tecnologías de la información y la comunicación y su
uso masivo por parte de las personas, extendiendo el alcance a lo que po-
dríamos denominar ciberseguridad.

1 ENISA, “Pautas para la cultura de la ciberseguridad: aspectos del comportamiento”

[https://bit.ly/2DB6gsM].

241
 En este artículo se presentan algunas definiciones y sus fuentes, desde el
concepto de ciberseguridad hasta otros más básicos sobre la gestión de las
tecnologías y la seguridad de la información en las organizaciones, a modo
de panorama general. Luego, su incidencia en los servicios financieros como
un conjunto particular de servicios destinados al desarrollo económico y fi-
nanciero del país, y que deben protegerse, desde distintos enfoques porque
adicionalmente resulta un negocio atractiva para los delincuentes.

2. Ciberseguridad y seguridad de la información

La definición de seguridad de la información tiene consenso y aceptación por
la industria y su uso es conocido desde años, y se encuentra definido en el
estándar ISO/IEC 27000 —que se desarrolla más adelante—, sin embargo
lo que no se ha adoptado con consenso general es la definición de ciberseguri-
dad, dado que muchas veces se utiliza con el mismo alcance que seguridad de
la información sin aportar ningún valor, cuando lo real es que se requiere una
definición que aborde las nuevas problemáticas.
Desde el punto de vista general, se requiere hacer referencia a una dis-
ciplina que aborde, investigue, entienda y proponga medidas para dar res-
puesta a los grandes problemas que derivan del uso transversal de la tecnolo-
gía que hasta la fecha no existían; mucho es novedoso y requiere un enfoque
multidisciplinario, integral, centrado en la protección de los derechos reco-
nocidos y, tal vez, identificando nuevos derechos. Pero también ya hay mu-
chos abordajes en el mundo desde hace tiempo y experiencias que pueden
tomarse para evitar errores que otros ya han cometido.
Como se menciona al principio, no hay un consenso en la definición de
ciberseguridad, pero sin duda la definición que se adopte debería ser relevante
para tomar medidas y proteger a los ciudadanos.
En el documento “Cultura de la ciberseguridad” de ENISA (Agencia
Europea de Seguridad de las Redes y de la Información) antes citado se
hace referencia a las definiciones de los diccionarios que tienden a centrarse
demasiado en la protección contra ataques externos; por ejemplo, el dic-
cionario de inglés de Oxford define la ciberseguridad como “El estado de
protección contra el uso delictivo o no autorizado de datos electrónicos, o

242
las medidas adoptadas para lograrlo”2. Sin embargo, hay otras que amplían
o extienden el alcance; los debates van desde qué proteger, si son datos, in-
formación, sistemas, infraestructuras o personas, el nivel de conexión o no
a Internet, etcétera, hasta que de qué proteger, si de ataques o también de
fallos y errores.
También el alcance es controversial, dado que tenemos estándares para
la gestión de la seguridad de la información en el contexto de una organi-
zación, pero no hay guías suficientemente asentadas para los países sobre
cómo abordar estos problemas. Tampoco hay profesiones que traten la inte-
gralidad; los especialistas suelen tener grandes conocimientos técnicos, pero
la comunicación del impacto de los riesgos parece ser crucial a la hora de
conseguir fondos o implementar políticas para hacer efectivas las medidas
de protección.
La verdad es que el problema no ha madurado aún para encontrar con-
sensos, aunque desde distintos ámbitos hay iniciativas para trabajar y elabo-
rar algunas medidas de protección. Están aún en construcción los abordajes
a escala nacional, requisito vital dada la interconexión que conlleva el uso de
Internet y las nuevas tecnologías.
En un artículo publicado recientemente titulado “Diferencias entre la
ciberseguridad y la seguridad de la información”,3 se realiza alguna descrip-
ción de las áreas de aplicación específica como seguridad de datos, seguridad
TIC relacionada con hardware y software, pero se presentan en un gráfico
interesante que demuestra la diferencia de ámbitos de aplicación, en los que
se deberían estudiar o mejorar aquellos elementos a proteger y en particular
las personas que son vulnerables a través de la tecnología.

2 Ciberseguridad en el Diccionario de Oxford: https://bit.ly/2vnop8W.

3 Diferencias entre la ciberseguridad y la seguridad de la información publicado
originalmente en la revista en línea CISO Platform [https://bit.ly/2J8MYi7].

243
 Things that are
Information vulnerable
through ICT

Digital
Information Other
information
things than
information
Analog
information

Information Security Cyber Security

Referencia: Center for Cyber and Information Security.4

En este sentido, consensuar una definición nos permitiría educar, asig-

nar responsabilidades y cooperar para colaborar de manera más efectiva y
eficiente, acortando plazos.
Desde el punto de vista de la tecnología, entre las organizaciones in-
ternacionales es la Unión Internacional de Telecomunicaciones (UIT, ITU en
inglés) la que viene trabajando desde hace unos cuantos años. Su Recomen-
dación Técnica de Ciberseguridad es de 2008 (UIT-T Rec. X.1205),5 sin
embargo, durante los últimos años esta organización ha trabajado y am-

4 Centro para la Seguridad de la Información y Ciberseguridad de Noruega [https://www.

ntnu.edu/iik/cyber]. Este es un centro nacional para la ciberseguridad y de la información
(NTNU CCIS) dedicado a la investigación, la educación y el desarrollo de competencias
dentro del área de ambas enfoques de la seguridad. NTNU CCIS es una asociación público-
privada con 26 socios privados y públicos de la industria, el mundo académico, la privacidad
y la seguridad. NTNU CCIS tiene como finalidad: a) aumentar la capacidad de seguridad
cibernética de Noruega para enfrentar los desafíos de seguridad a largo plazo; b) desarrollar
la competencia de seguridad cibernética en agencias, empresas y academias noruegas; y c) ser
un apoyo profesional para nuestro gobierno en discusiones y compromisos internacionales; y
para cerrar la brecha de información y ciberseguridad en la sociedad.
5 Recomendación X.1205, abril de 2008 [https://bit.ly/2wF6hYE].

244
pliado su alcance desde la técnica hacia un enfoque más integral en el que
promueve la cooperación y la creación y mejora de capacidades en respuesta
a incidentes y ciberseguridad de los países mediante su programa de ciberse-
guridad.6 Siempre con el foco en guiar a los países.
Entre las definiciones más conocidas se encuentra la de UIT, que comenzó
a hablar de ciberseguridad en el ámbito global en su Agenda Global de Ci-
berseguridad en 20077 y que realiza una aproximación amplia que relaciona
las medidas de protección como acciones preventivas centrales y transversales,
conteniendo entre sus premisas las medidas legales como uno de los cinco ejes.
La Agenda sobre Ciberseguridad Global de la UIT abarca cinco aspectos
de la cooperación internacional
a tra ña m de le

S
m teg r u od lito
es is ción iber atib

et ia na el
a s
leg bre es c lica ent
d

inc par

S
isl el m ble e.
so

luy
a c p
qu y ndia

en
e

a
m

S
o
a
S

p lm
u

er rd op a a s
ns ci tu lit g n

int coo , co un m das sta

e i pa sti ci até ye

log ce in opu o
es titu dad ción ar la icos

diá able cam n pr tod

ca con ra fa estr nclu

y o r a e

na ión ión e
cio ac ac o d

S
es e luye m
i

na in er rc
pa ivos ta

inc o
ra on m e
jet me

fe ci hu d
, 2 en na
y 3 las
s 1 al a

.
ob a

les

S
t n

S
.

o rate tes insti cib resp un ital

es un e pr dad, cre y eq .

es nde ras obr ta y s, y dig l.

a tegia rco colo rma ción os

m gia a e tuc erd ue

t n
tra m oto no dit uip

te uctu as s aler ente idad rsa

me s p mu s d s y

es olíti ncia inci iden univ

to s m sta ion elit sta

tr c , d t e

do u bl ale o,

S S
ta ara nd e

p la te de y
vig a ma érico

inc ndia ecer s y

inc dis ial
d ri a
a

i
se nes ram mát

luy les
1

luy eñ
pla pro infor
gu de as ico

sis ge

en
en ar
de

n
te n

e
g

a
s

5
2

6 Programa de Ciberseguridad de ITU [https://bit.ly/2KOvCE4].

7 Agenda Global de Ciberseguridad ITU [https://bit.ly/2GOJf7F].

245
 A efectos de entender que de qué hablamos nos referimos a ciberseguridad,
tomaremos la definición de UIT, que abarca “el conjunto de herramientas,
políticas, directrices, métodos de gestión de riesgos, acciones, formaciones,
prácticas idóneas, garantías y tecnologías que pueden utilizarse para pro-
teger la disponibilidad, integridad y confidencialidad de los activos de la
infraestructura conectada pertenecientes al gobierno, a las organizaciones
privadas y a los ciudadanos; estos activos incluyen los dispositivos informáti-
cos conectados, el personal, la infraestructura, las aplicaciones, los servicios,
los sistemas de telecomunicaciones y los datos en el mundo cibernético, de
acuerdo con UIT”8. Entendiendo por cibernético al denominado “mundo
interconectado”.
Entre los avances que ha hecho UIT en este tema, se encuentra la cons-
trucción de un índice global de ciberseguridad,9 en el que mediante una
metodología de encuesta a los países acerca de determinadas medidas en
las cinco áreas de referencia, UIT elabora un índice sobre la preparación de
cada país en esta materia.
Las cinco áreas son:
• medidas legales,
• medidas técnicas y de procedimientos,
• estructuras institucionales,
• creación de capacidades y
• cooperación internacional.
La informática es un campo de conocimiento relativamente nuevo, en
comparación con otros cuerpos de conocimientos más tradicionales como
la medicina, la arquitectura y el derecho, y si bien se encuentra en pleno
florecimiento, su alcance es tan amplio que aun las sociedades más avan-
zadas con sus instituciones maduras tienen una limitada compresión de sus
principios o posibilidades así como de sus riesgos.
Este hecho hace que en la sociedad, aun a nivel general, las habilidades
y capacidades de los profesionales de la informática o computación no se
encuentren muy difundidas, y que el campo de la seguridad informática
todavía sea una especialidad pero no una materia en sí misma, como sucede

8 “¿Qué es la ciberseguridad?”, Guía para la elaboración de una estrategia nacional de Ciberseguridad

[https://bit.ly/2IPkk5V].
9 Índice Global de Ciberseguridad [https://bit.ly/2ULdtvV].

246
en nuestro país. Sobre la necesidad de profesionales de la ciberseguridad10
también se ha escrito en muchos foros y artículos, donde se indica que para
2021 habrá 3,5 millones de puestos sin cubrir. Estados Unidos, por ejem-
plo, tiene un proyecto nacido en forma independiente, en 2008, que en los
últimos años se incorporó al NIST (su Instituto Nacional de Estándares y
Tecnologías) que se denomina NICE,11 Instituto Nacional para la Educación
en Ciberseguridad en el que generó todo un framework para el desarrollo de
conocimientos, capacidades y habilidades en la materia.
Una de las características que ha tenido la informática e Internet en
particular es la velocidad de crecimiento, sin mencionar el despliegue de la
telefonía móvil, y de inserción en la vida de las personas. Habiendo nacido
como una herramienta de interconexión entre redes universitarias para fines
militares,12 la red de redes llevó a una revolución que modificó en todo el
mundo las posibilidades de interrelación y de comercializar bienes y servi-
cios, lo cual, ligado al desarrollo de los dispositivos móviles de los últimos
años, provoca una cantidad de cambios de los que aún no podemos sacar
conclusiones definitivas.
Este rápido crecimiento e innovación supone también la convivencia
de sistemas y equipamiento de las más variadas tecnologías. Así, subsisten
en ciertas organizaciones sistemas críticos desarrollados hace quince años o
más con las últimas versiones de los sistemas operativos tradicionales, con
servicios virtualizados,13 servicios en la nube, y diversidad de motores de
bases de datos, entornos de programación, etcétera, que generalmente per-
manecen transparentes para el usuario o consumidor final.
El hecho de la transparencia ocurre mayormente en las organizaciones
cuya misión principal no es la informática o cualquier rubro de la informática,
porque en esas organizaciones, las más tecnológicas, hay una masa crítica de
personas que entienden y son conscientes del impacto que la obsolescencia

10 “La falta de expertos en ciberseguridad obliga a recurrir a estudiantes” [https://bit.ly/2ziVtjL].

11 “Framework para el desarrollo de capacidades y habilidades en ciberseguridad” [https://
bit.ly/2FE8Z3C].
12 “Arpanet, el origen de Internet” [https://bit.ly/2inoWkx].
13 Los sistemas virtualizados son sistemas que funcionan como si estuvieran en un equipo físico,
pero no funcionan en entornos de software que los contienen. La virtualización es la creación
a través de software de algún recurso tecnológico (físico), como puede ser una plataforma de
hardware, un sistema operativo, un dispositivo de almacenamiento u otros recursos de red.

247
tecnológica y la multiplicidad de tecnologías provocan en el proceso de man-
tenimiento y gestión de los cambios en las empresas.
También el tamaño de la organización influye en la toma de decisiones
sobre el uso de la tecnología, desde la incorporación de un nuevo sistema
de facturación hasta la compra de impresoras o el desarrollo de un sistema
para un área específica.
Sin embargo, en la medida en que la sociedad utiliza la tecnología para
dar soporte a sus servicios, se vuelve más dependiente de su funcionamiento.
La denominada “transformación digital” de las organizaciones hace foco en
la funcionalidad y en los beneficios que para las organizaciones supone la
adopción de la tecnología para lograr beneficios en términos económicos al
optimizar la utilización de recursos mediante la incorporación de tecnología.
Desde el punto de vista integral, la transformación digital de una orga-
nización supone cambios mucho mayores que la incorporación de tecno-
logía. Estos cambios fueron estudiados para la elaboración de estándares
desarrollados por la industria con el fin de equilibrar intereses que implican
no derrochar ni descuidar aspectos clave que devienen en una organización
cuando se intenta realizar modificaciones en la forma de hacer una tarea.
Esta incorporación de tecnología en las organizaciones se viene realizan-
do desde hace ya muchos años y también se ha visto que no siempre trajo los
beneficios anunciados, ya que, en la experiencia compartida de directivos, se
pudo notar que los anunciados retornos de inversión no aparecieron, que el
valor que aportaría la tecnología no fue tal y que, en algunos casos, se tomó
como un mal necesario.
En este sentido surgen, en las últimas décadas, múltiples estándares
para mejorar la gestión de servicios de TI (tecnologías de la información)
y el gobierno de las TI en el marco de las organizaciones. Estos estándares
—en particular los de gobierno— presentan principios generales destina-
dos a quienes dirigen una organización para tener en cuenta al momento
de tomar decisiones estratégicas relacionadas con tecnología, aspectos que
resultan de vital importancia y que se basan, a su vez, en los principios del
gobierno corporativo14 establecidos por organismos como la OCDE (Or-
ganización para la Cooperación y el Desarrollo Económico).

14 Principios del Gobierno Corporativo de G20/OCDE, 2015 [https://bit.ly/1JYcezZ].

248
3. El gobierno corporativo de las TIC
Otra vez, la necesidad de establecer un estándar se fundamenta en la
cantidad de inversiones no recuperadas, promesas de ahorros no cumplidas,
proyectos inconclusos, desvíos entre los objetivos de TI y los de la organiza-
ción, así como fallas de implementación y otros problemas que impiden a la
organización cumplir con sus objetivos.
En esencia, en el gobierno de las TI, lo que esta norma propone puede
resumirse en tres propósitos fundamentales:15
• asegurar que cumpliendo los requisitos de esta norma de manera
adecuada, las partes interesadas —directivos, consultores, ingenie-
ros, proveedores de hardware, auditores, etcétera— puedan confiar
en el gobierno corporativo de TI;
• informar y orientar a los directores que controlan el uso de las TIC
en su organización;
• proporcionar una base para la evaluación objetiva por parte de la
alta dirección en el gobierno de las TI.
Asimismo, los principios que, por ejemplo, se encuentran en el están-
dar ISO/IEC 38500:2015,16 adoptados también por el marco de negocio
COBIT 201917 de ISACA, una asociación internacional originalmente de-
dicada a capacitar en autorías de TI que funciona desde 1996.
Los principios son seis y representan áreas de atención. Como todo prin-
cipio, se trata de valores de la organización que, sin estar escritos, deben
contemplarse y evaluarse en la toma de decisiones del nivel de las máximas
autoridades de una organización. A continuación se listan y describen bre-
vemente estos principios.

15 Gobierno Corporativo de TIC ISO/EC 38500 en ISACA [https://bit.ly/2BSpnNm].

16 ISO/IEC 38500: 2015 Gobierno de TI para la organización [https://bit.ly/2Jhpwgj].
17 COBIT 2019 de ISACA, Marco de negocios para el gobierno y la gestión de TI [https://
bit.ly/1Nj6zsv].

249
 Principio 1 Responsabilidad

Principio 2 trategia

Principio 3 Adquisición

Principio 4 Rendimiento

Principio 5 Conformidad

Principio 6 Comportamiento humano

Principios del gobierno corporativo de las tecnologías de información. ISO/IEC 38500.

Responsabilidad:
• La organización y su proveedor de TI deben mantener una relación
de colaboración basada en vínculos de confianza y claridad respecto
de la responsabilidad de quien realiza cada tarea y de quién y cómo
controla. Este concepto también coincide con la premisa de transpa-
rencia, que es un principio de gobierno corporativo.
• Se requieren estructuras organizativas o institucionales con roles,
funciones y responsabilidades asignadas que brinden claridad sobre
la propiedad de los activos, y la responsabilidad de las decisiones y
tareas importantes.
Estas características luego serán esenciales, en un nivel más bajo corres-
pondiente a la operación, cuando deban abordarse cuestiones de seguridad
de la información.

Estrategia:
• Se requiere coordinación entre las unidades de negocio y los planes
estratégicos de TI para orientar los resultados sobre los beneficios
deseados y la asignación eficaz de los recursos con los que se cuenta.
• Se centra en la alineación de los planes estratégicos con los tácti-
cos, garantizando mínimas fallas y sorpresas teniendo en cuenta el
riesgo asociado en relación con el umbral de riesgo definido para
la organización.

250
 Adquisición:
• Destaca la necesidad de no tratar la incorporación de infraestructuras de
TI como un bien más que se adquiere, sino que su implementación debe
ser una cuestión de cambios organizativos, procesos de negocio revisa-
dos, capacitación y facilitación de cambios.
Toda transformación digital requiere una reingeniería de procesos, de-
pendiendo del alcance de un cambio cultural de la organización.
Esta premisa es de vital importancia porque implica el reconocimiento
para la organización de que la tecnología implica cambios en la cultura de
la organización y que requiere un acompañamiento más amplio del que
pueden brindar las áreas de tecnología, áreas de procesos, de recursos huma-
nos, de comunicación interna, si las hubiera, deberían trabajar en conjunto,
coordinadas para que las inversiones de TI puedan lograr los beneficios es-
perados.

Rendimiento / performance:
• La medición eficaz en dos aspectos clave es crítica:
- establecer las metas de rendimientos de manera y
- definir las métricas para evaluar el cumplimiento de las metas definidas.
• Es importante lograr transparencia con base a comunicar métricas e
informes del desempeño en un lenguaje comprensible para las partes
interesadas a fin de que puedan ser tomada como base para la tomar
decisiones.

Conformidad o cumplimiento:
• Representa la relevancia del cumplimiento con los requisitos legales
y regulatorios.
• Se debe garantizar a los distintos actores con diversos intereses o
partes interesadas (stakeholder) el cumplimiento de leyes, reglamen-
taciones y normativa.
• Necesidad de asegurarse que los contratos incluyan requisitos relati-
vos a las TI en temas como privacidad, confidencialidad, propiedad
intelectual y seguridad.
En este ítem se contempla que los aspectos regulatorios deban ser consi-
derados en los contratos con los proveedores o clientes.

251
 Comportamiento humano:
• Se deben comunicar claramente las metas, los cambios propuestos
con las TI.
• Formación, contención y mejora de las competencias del personal,-
claves del cambio para todos los niveles.
• Los aspectos humanos y el cambio representan un riesgo, el comporta-
miento de relacionado con temas como la privacidad y fraude son
preocupaciones crecientes en la actualidad.
Es muy común aun en estos días que los cambios que implican un cam-
bio profundo en la manera en que se hace una tarea diaria se vea, para
cierto perfil de profesional, como una simple incorporación de un sistema
de información o programa.
No es lo mismo para las empresas que nacen digitales o que su objetivo son
negocios digitales; en estas empresas la dinámica se da de manera diferente.
La denominada “despapelización” —realizar los trámites que antes re-
querían el uso de papel, ahora por medios digitales, y en algunos casos a dis-
tancia— puede ser un buen ejemplo. Se sabe que, en general, las personas no
somos receptivas a los cambios, y si este cambio viene impuesto desde la au-
toridad y sin explicaciones (sobre seguridad, funcionamiento, beneficios, etcé-
tera) la resistencia natural, puede hacer que cualquier buen proyecto fracase.
También hay componentes como accesibilidad, edad a la que se diri-
gen los servicios; no es lo mismo servicios para la tercera edad que para jó-
venes. En términos de preferencias, todos los cambios requieren su acom-
pañamiento.

4. La seguridad de la información
Los problemas de seguridad son parte del riesgo de la empresa, no es
solo un problema de las áreas de TI18. Este enfoque es una evolución, que
va desde aspectos de seguridad informática dentro de las organizaciones, los
aspectos técnicos de la disciplina que son sin duda los más conocidos y ac-
tualmente la concientización sobre el uso de los recursos informáticos, pero
para el público no especialista hay un listado no taxativo de aspectos que
cubren la seguridad de la información que puede ser útil.

18 Artículo publicado en la revista Forbes [https://bit.ly/2VvwIOC].

252
 A modo de referencia, la industria de la tecnología tiene sus estándares
técnicos para lograr funcionamientos eficientes y, en el mismo sentido, en
materia de seguridad de la información (SI), varias son las organizaciones
internacionales que aportan lineamientos para el establecimiento de con-
troles, como los controles de CIS (Centro para la Seguridad de Internet),19
financiado por el Gobierno de Estados Unidos, o los controles del NIST.20
Sin embargo, con el tiempo es ISO/IEC y el estándar 27001 la norma que
se ha establecido como la de mayor adopción y reconocimiento.
Esta norma mencionada es solo una de la denominada familia de nor-
mas ISO/IEC 27000,21 que brindan un amplio espectro de especificaciones
sobre seguridad con distintos enfoques, para diferentes industrias, y en parti-
cular aquella que contiene los requerimientos para un sistema de gestión de
seguridad de la información, con aspectos para la administración en gene-
ral, como aspectos de SI en los dominios o áreas temáticas.
Sin embargo, no hemos dado los tres principios, que son la integridad,
confidencialidad y disponibilidad. Estas son las propiedades básicas que pre-
serva la seguridad de la información. Se entiende que cuando nos referimos
a integridad, se trata de mantener a la información de manera completa y
exacta. Los controles tienen el objetivo de prevenir cualquier tipo de altera-
ción, o que sea detectada si esta ocurriera. En el caso de la confidencialidad,
la finalidad es que aquel que tenga la autorización para acceder a la infor-
mación pueda hacerlo y no otro, luego se verá para qué tiene autorización,
si leer, copiar o procesar. Y finalmente la disponibilidad, que es la propiedad
que se resguarda cuando se trata de asegurar que la información efectiva-
mente se encuentre donde y cuando se la requiera para utilizarla.
A continuación, una brevísima descripción de los aspectos centrales de
seguridad que aborda ISO/IEC 27001.

4.1. Dominios de ISO 27001:2013

Son áreas temáticas de abordar los principales aspectos de SI.

19 CIS, Centro para la Seguridad de Internet [https://www.cisecurity.org/controls/].

20 Controles de seguridad informática [https://nvd.nist.gov/800-53].
21 Sitio educativo sobre la familia de normas de ISO/IEC 27000, con el listado completo
de las normas que involucran, una breve descripción, glosario, estándares relacionados,
y novedades en materia de seguridad de la información: www.iso27000.es.

253
 1. Políticas de seguridad de la información: documento que plasma los
lineamientos generales de la organización sobre el tema.
2. Organización de la seguridad de la información: se contempla el es-
tablecimiento de roles, funciones, y la asignación de las responsabilidades en
un elemento crítico en la correcta gestión de la seguridad de la información.
El estándar brinda referencias para orientar la asignación de las funciones
necesarias.
3. Seguridad de los recursos humanos: aspectos sobre antecedentes de
los empleados, los planes de capacitación y concientización, los compromi-
sos con el uso responsable, y la notificación de políticas internas, entre otros
temas, se encuentran en esta área.
4. Gestión de activos: para proteger la información es necesario tenerla
identificada, catalogada y con un dueño reconocido, que será el responsable
por la protección de esa información, de esa manera podrá realizarse un
priorización sobre qué información es relevante para la organización y será
la base para el análisis de riesgos.
5. Control de accesos: cada sistema, dispositivo, red, base de datos y de-
más recursos deben tener un acceso gestionado para cada usuario, grupo o
cuenta. En una organización, este dominio contempla estos temas. En defi-
nitiva, es la autenticación, la verificación de si tiene el permiso para acceder
y la autorización para determinadas acciones.
6. Criptografía: se utiliza criptografía para la autenticación de personas
o servicios, como para el resguardo de la confidencialidad y debe evaluarse
para cada objetivo cuáles son los mejores algoritmos o esquemas.
7. Seguridad física y medioambiental: se trata de establecer contro-
les que resguarden un adecuado nivel de seguridad para las instalaciones
físicas y de los equipos, así como condiciones de humedad, temperatura,
etcétera.
8. Seguridad de las operaciones: son los controles establecidos rela-
cionados con las responsabilidades en la operación, protección de códigos
maliciosos (malware o virus), copias de seguridad (backup), registros de
transacciones de los sistemas (logs), gestión de vulnerabilidades (parches y
actualizaciones de SO, aplicativos, hardware, etcétera).
9. Seguridad de las comunicaciones: son los controles sobre la seguridad
de las redes y del intercambio de información con terceros.

254
 10. Adquisición, desarrollo, mantenimiento del sistema: aspectos rela-
cionados con los requisitos en compras, en procesos de desarrollo y temas
relacionados con los datos de prueba.
11. Relación con los proveedores: políticas de seguridad y tratamiento
de riesgos con los proveedores, cláusulas contractuales, gestión de cambios y
controles sobre el cumplimiento.
12. A.16. Gestión de incidentes de la seguridad de la información: re-
quiere establecer roles y responsabilidades, notificaciones, la respuesta y lec-
ciones aprendidas entre otros temas.
13. Aspectos de seguridad de la información en el proceso de “continui-
dad del negocio”: planificación de la seguridad en el plan de continuidad y
la redundancia.
14. Aspectos de cumplimiento: identificación de legislación aplicable y
evaluación de los requisitos, protección de datos personales, privacidad, pro-
piedad intelectual, regulación de controles criptográficos, y por otro lado los
cumplimientos sobre normas y procedimientos de la organización.
Este listado constituye una línea base internacional de requisitos gene-
rales para el establecimiento de un sistema de gestión de seguridad de la
información, que implica un tratamiento sistemático de los problemas de
seguridad que deberían ser abordados en el contexto de una organización.
No obstante, en la práctica muchos de estos aspectos aún requieren divul-
gación y madurez para su aplicación. Las características mismas de la segu-
ridad informática nacida apenas después de las primeras computadoras, y que
dio respuesta a los primeros incidentes (eventos no esperados con consecuencias
negativas) tiene cada día un mayor campo de aplicación. Una característica de
este hecho es la falta de consenso en la terminología a utilizar. Si bien hay insti-
tuciones internacionales de estandarización tecnológica, el rápido desarrollo de
las tecnologías, profesionales autodidactas y quienes se han formado por sus pro-
pios medios, sumado a que el inglés es el idioma técnico, influyen para dificultar
la comprensión hacia otras disciplinas.
Cabe destacar que los requisitos señalados tienen objetivos de control
definidos en el estándar para su cumplimiento. Este estándar puede ser cer-
tificado por las organizaciones luego de una auditoría. Para el cumplimiento
de los objetivos, gran cantidad de información se encuentra en estándares
como los mencionados anteriormente.

255
5. Gestión de incidentes de seguridad informática en particular
Una vez implementados los controles para que mitiguen razonablemen-
te los riesgos de seguridad de acuerdo con los recursos de la organización y
a los niveles de riesgo aceptables, estos pueden ser sobrepasados o evitados,
y un incidente puede finalmente ocurrir, esto ya es un hecho. Así, algunos
incidentes pueden ser desde un phishing22 o un ransomware,23 pero hay más.
En muchos casos, un incidente podría derivar en la constitución de un de-
lito y por este motivo es muy recomendable que algún integrante del área
legal de la organización se interiorice sobre la terminología o incidentes de
seguridad informática y de las buenas prácticas forenses, a fin de tomar las
medidas apropiadas en caso de ser necesario y estar preparado de la mejor
manera posible para el caso de un eventual juicio o para realizar una denun-
cia penal.
La dificultad de comunicación entre los equipos de respuesta a inciden-
tes y las fuerzas de la ley, que tienen objetivos muy diferentes, puede ser
complicada. ENISA en 2018, por ejemplo, ha generado una material para
que esta comunicación pueda ser encaminada, “Herramientas y metodolo-
gías entre CSIRT y fuerzas de la ley”,24 aunque hay mucho trabajo por hacer
todavía. También lo hizo en 2018, con un trabajo sobre cooperación entre
CSIRT y fuerzas de la ley: interacción con la justicia.
Las actividades de gestión de incidentes son las que pueden realizar las
organización actuales para dar una atención, o mejor, “una respuesta” ade-
cuada, cuando un incidente les ocurre. Prepararse para minimizar el impac-
to, en caso de ser posible minimizar daños o evitar que se propague o que el
incidente escale para afectar a la organización más gravemente.
En términos de un sistema o conjunto la coordinación de incidentes,
también tenderá a que la información de un incidente en una organización

22 Phishing, del inglés “pescar”, es un término utilizado originalmente una modalidad de engaño
en la cual mediante un correo electrónico engañoso, se insta a que el destinatario envíe por
correo o coloque en un formulario web, datos personales o confidenciales. Actualmente se
utiliza el término para llamar a cualquier clase de engaño que se envía por correo con un fin
malicioso, ya sea descargar un adjunto infectado o hacer clic en un link a un sitio fraudulento.
23 Ransomware es un tipo de malware que cifra un equipo e impide su utilización o acceso
y por el cual generalmente se pide un rescate, hay gran variedad hoy y sigue siendo una
de las peores amenazas [https://es.wikipedia.org/wiki/Ransomware].
24 Herramientas y metodologías entre CSIRT y aplicación de ley [https://bit.ly/2UJELTE].

256
sirva para prevenir al resto de la comunidad. Esta es otra de las tareas pri-
mordiales, que en muchos casos se denomina “compartir información”.
El ámbito de estudio de los incidentes es la seguridad informática (SI)
—o de la información—, en tanto se estudian las formas en que la informa-
ción, sistemas y redes queden exentos de daños, peligros y riesgos, mientras
que en la gestión de incidentes, como apéndice de la SI, por un lado trata
en general eventos sucedidos —post mórtem— de los que se toma conoci-
miento por sus efectos.

Forensia,
Contención, lecciones
Detección
Preparación erradicación y aprendidas
y análisis
recuperación y otras
tareas

Principales actividades de la gestión de incidentes de ciberseguridad.

En la preparación la organización deberá asignar funciones y responsa-

bilidades, identificar sus posibles incidentes de una lista y establecer los pasos
a seguir para brindar atención, priorización, escalamiento y derivaciones.
En la detección y análisis, se espera que los sistemas tengan definidos los
eventos no deseados para aislar aquellos que puedan ocasionar daños, evaluar
posibles impactos y se activen las actividades planificadas con anterioridad.
En la contención y erradicación posiblemente se tomen medidas para
evitar un daño mayor, se apliquen soluciones o controles compensatorios
para restablecer servicios o recuperen su nivel de servicio prestablecido.
Finalmente, en la última etapa se deberán realizar todas las actividades poste-
riores, de acuerdo con la necesidad de actividades de forensia, necesaria en el caso
de una posible denuncia, informes detallados, incorporar las lecciones aprendidas
para evitar una nueva ocurrencia y otras tareas que la organización requiera.

257
 En la Guía de Gestión de Incidentes de ENISA25 se encuentran todos los
detalles para el establecimiento de un equipo de respuesta a incidentes. Sin
embargo, para la atención en una organización de los incidentes, lo impor-
tante es que las funciones y las tareas estén identificadas, así como las partes
que pueden tener interés en la resolución del incidentes y en el restableci-
miento de los servicios, así como la identificación de las causas raíz.

6. Las vulnerabilidades
Otro concepto que viene a tomar relevancia en este tema es el de “vul-
nerabilidad”. En seguridad informática, un incidente sucede porque una
vulnerabilidad es aprovechada. Por definición, una vulnerabilidad es una
debilidad o ausencia de un control, y ya sea por una incorrecta gestión de
la seguridad o por un sistema al que se le encontró una vulnerabilidad, la
organización puede estar en riesgo.
La información sobre vulnerabilidades es un tema en sí mismo. Desde
los investigadores independientes que se dedican a encontrarlas y a repor-
tarlas, tanto por gusto como por trabajo, hasta el mercado negro de vulne-
rabilidades, que puede encontrarse a disposición de grupos de crimen orga-
nizado, constituyen un escenario subterráneo a los problemas de seguridad
que vemos a diario.
En este sentido, las grandes empresas han establecido programas deno-
minados bug bounty, en los que ofrecen ciertos montos a quien les reporte
una vulnerabilidad que pueden llegar hasta los cien mil dólares, en el caso
de Microsoft.26
Sobre el reporte de vulnerabilidades, existen algunas discusiones aún,
aunque se entiende que las empresas que invierten mucho en su seguridad
prefieren pagar y enterarse primero si alguien encuentra una debilidad a no
enterarse y encontrarse luego con un incidente mayor.
En las buenas prácticas internacionales este tema tiene su estándar en
ISO/IEC 29147, en el que se describen los actores intervinientes, y la pro-
blemática para que las empresas adopten medidas para atender de manera
oportuna un reporte de vulnerabilidades, de hecho, en 2016 las gestiones de

25 Guía de buenas prácticas para la gestión de incidentes de ENISA [https://bit.ly/2zj58Ji].

26 Siete programas de bug bounty atractivos en los que podrías participar: https://bit.
ly/2GOkLLD.

258
una investigadora y un representante de un CERT, solicitaron a ISO que
esta norma de referencia pudiera ser gratuita, considerando el valor social
que podía aportar27.
La investigación de vulnerabilidades requiere extrema especialización
de conocimientos técnicos en programación y una mentalidad hacker, en su
acepción ética. Dependiendo del ámbito de aplicación, una gestión de vul-
nerabilidades requiere esfuerzo de las personas, entendiendo como esfuerzo
al tiempo así como recursos técnicos y económicos.
El ámbito de la investigación de vulnerabilidades a escala nacional requie-
re una política coordinada con las instituciones académicas y el sector privado,
a fin de conseguir beneficios reales. En tanto, la difusión de vulnerabilidades
que se han dado a conocimiento público es servicio útil y brindado en el ámbi-
to público y privado. En este tema, los equipos de respuesta a incidentes tam-
bién tienen un rol fundamental por sus conocimientos. Son quienes pueden
entender la importancia de que una vulnerabilidad sea reportada para que se
solucione a la brevedad antes de que un delincuente la aproveche.
Otro punto que trata las amenazas potenciales —como pueden ser
malware, programas que están causando daños— son también las que se
denominan alertas o advertencias. Estas “alertas” hacen referencia directa a
los tipos de incidentes que en un momento dado se están observando, que en
general son vulnerabilidades que están siendo aprovechadas y cuya informa-
ción puede servir para alertar a otros usuarios ante una amenaza conocida
para que se prevengan.
Los servicios de “difusión de vulnerabilidades públicas” y la “emisión
de alertas”, en tanto informe de metodologías de ataques observados en un
momento, suelen confundirse y si bien pueden coincidir en algún momento,
conceptualmente son servicios diferentes.
Como información de entrada para la emisión de las alertas mencio-
nadas en el párrafo anterior, se encuentra el análisis de los incidentes. Para
este trabajo se necesitan expertos que puedan hacer ingeniería inversa de los
programas dañinos (malware) que andan circulando, es decir, que puedan
analizar, dado un programa, todas las acciones que realiza y cuál es final-
mente su programación.

27 Norma de divulgación de vulnerabilidades ahora gratis: https://bit.ly/2J8Q0Tx.

259
 Las habilidades necesarias para este tipo de trabajo son muy técnicas,
orientadas a la programación, con capacidad de diseño funcional, diversi-
dad de plataformas de desarrollo, pruebas de calidad y sobre todo conoci-
miento acerca de las formas en que se aprovechan debilidades de los siste-
mas informáticos en general, experiencia.
Hay vulnerabilidades que no son conocidas por el fabricante del produc-
to y de las que ya se conocen programas que las aprovechan. Son las llama-
das de día cero (0-day) y suelen ser las más dañinas porque no hay un parche
que pueda evitar su explotación. En otros casos, aún habiendo publicado un
parche el fabricante, esa actualización no se instaló.
Por otro lado, los análisis de vulnerabilidades suelen ser un servicio de se-
guridad informática que se contrata a una empresa externa para que evalúe
el estado de situación en este aspecto. El servicio consiste, con alguna varian-
te, en buscar mediante técnicas y softwares específicos y habilidades de los
investigadores, las vulnerabilidades en sistemas informáticas o en las redes.
Realizar un análisis periódico suele ser una buena práctica recomenda-
da, como un tipo de auditoría de un tercero independiente, ya que en el des-
cubrimiento de estas vulnerabilidades los especialistas informan los riesgos y
las recomendaciones para su resolución.

7. Tecnología, servicios financieros y casos emblemáticos

Antes de iniciar un breve repaso de los casos que se volvieron hitos para el
sistema financiero, en términos de ciberseguridad, vale la pena mencionar qué
pasó en el mismo sentido en la seguridad informática y la respuesta a incidentes.
Desde la seguridad informática, los incidentes que afectan masivamente
a la sociedad se abordan, desde 1988, cuando un incidente denominado
“internet worm” o “gusano de Morris”28 sorprendió a Estados Unidos y lla-
mó a la reflexión a una gran cantidad de actores de Internet, ya que en ese
momento la reacción fue aislada y descoordinada, resultando en esfuerzos
duplicados y soluciones conflictivas. Como reacción a ese incidente, sema-
nas más tarde se formó el primer CERT (Computer Emergency Response

28 Gusano de Morris fue el primer ejemplar de malware, genéricamente la forma de

nombrar a un programa que causa daño, y que afectó a una gran cantidad de servidores
conectados a Internet, en ese caso a 6.000 de los 60.000 equipos conectados a Internet
en ese momento en Estados Unidos [https://bit.ly/2meYJWE].

260
Team, o Equipo de Respuesta Emergencias Informáticas). Estos equipos
están formados por un grupo de expertos responsable de la elaboración y
distribución de información sobre medidas preventivas y reactivas ante inci-
dentes de seguridad en los sistemas de información.
Luego, el término “CERT” fue registrado por CERT/CC, coordinador
central (cc) y es por eso que suele utilizarse la sigla CSIRT, que en inglés
significa “Equipo de Respuesta a Incidentes de Seguridad Informática”, que
proporcionan servicios de respuesta ante incidentes a víctimas de ataques
en la red, publica alertas relativas a amenazas y vulnerabilidades, y ofrece
información que ayude a mejorar la seguridad de estos sistemas. Unos años
más tarde, en 1990, se creó FIRST,29 que agrupó a los equipos de respuesta
a incidentes del mundo.
FIRST es una organización de primer nivel y un líder mundial en respues-
ta a incidentes. Adoptar una membresía en FIRST permite a los equipos de
respuesta a incidentes responder de manera efectiva a los incidentes de seguri-
dad al proporcionar acceso a las buenas prácticas de la industria, herramien-
tas y comunicación confiable con los equipos miembro. Hoy lo integran 471
equipos de 91 países diferentes, tanto representantes de gobiernos nacionales
como de jurisdicciones menores, empresas globales y universidades. Dada la
experiencia y los conocimientos de FIRST, es considerada la red internacional
más importante en la materia, de características preeminentemente técnicas y
sin fines de lucro, aunque no ha tenido la publicidad que merece.
Por otro lado, la industria financiera ha utilizado como soporte a la in-
formática y las telecomunicaciones desde ya hace muchos años, sin embar-
go, no fue hasta hace relativamente poco tiempo que se ha incorporado a
todo el ciclo de vida del negocio, y con variados argumentos que van desde
la reducción de costos principalmente, hasta la mejora de los procesos y la
entrega de servicios en las organizaciones tradicionales.
Sin embargo, y aún más recientemente, entraron en juego las empresas
nacidas para dar servicios financieros totalmente mediadas por la tecnología
y en muchos casos motivada por la adopción masiva y el desarrollo de la
tecnología móvil, como puede ser la economía de los criptoactivos30 y las

29 Historia de FIRST: https://bit.ly/2UKwS0f.

30 “Mercado de los Criptoactivos. Canales potenciales para futuras implicancias de
estabilidad financiera” [https://bit.ly/2OnuyxE].

261
tecnologías DLT (Distributed Ledger Technology),31 incipientes y promete-
doras.
Tampoco debemos dejar de mencionar la creciente dependencia de los
proveedores externos, sean estos en la nube o proveedores locales de los que
no se tiene conocimiento de la gestión de sus propios riesgos.
En todos los casos mencionados, la incidencia de la tecnología es dife-
rente y sus riesgos deben considerarse de manera distinta, pero sin duda de-
ben ser considerados. A los riesgos tecnológicos, asociados a errores o fallas,
ahora se suman los riesgos de todo tipo de ataque, amenazas que aumentan
día a día. Es por eso que las organizaciones deben evaluar y analizar de ma-
nera interna los posibles impactos, así como también lo comienzan a hacer
algunas organizaciones para el sistema financiero en su conjunto bajo la
premisa de la “ciberseguridad”32.

7.1. Caso Bangladesh

El incidente de Bangladesh que afectó al sistema Swift33 se considera uno
de los más grandes de la industria. Hoy más conocido como el robo al Banco
Central de Bangladesh,34 en 2016, se emitieron 35 instrucciones falsas para
transferir alrededor de mil millones de dólares desde la Reserva Federal de
Estados Unidos hacia diferentes países y organizaciones; 5 de las 35 transfe-
rencias lograron llegar mover 101 millones de dólares, una por 20 millones
de dólares a Sri Lanka fue rastreada y finalmente fueron 81 millones de
dólares los que se perdieron. Unos 18 millones fueron rastreados hasta Fili-
pinas y recuperados. La Reserva Federal bloqueó el resto por las sospechas
de autoría, dados los errores en la escritura. Hay sospechas sobre malware
utilizados, pero no hay un reporte oficial y público. Solo hay artículos perio-
dísticos son informes parciales de organizaciones afectadas.

31 Se denomina DLT a los esquemas del tipo Blockchain, de registros distribuidos basados
en tecnologías que brindan seguridad técnica. Ver el informe “Discusión sobre el papel
de la tecnología DLT”, FCA, 2017 [https://bit.ly/2oY6NMx].
32 Relevamiento de regulaciones de ciberseguridad. Prácticas y guías de Supervición:
https://bit.ly/2UHD9K5.
33 Swift es una sociedad de entidades financieras mundiales que es propietaria de una red
de comunicaciones y pagos que funciona en todo el mundo desde 1975 [https://bit.
ly/2J1Q6Mo].
34 “Robo al banco de Bangladesh” [https://bit.ly/2Lj1RkC].

262
 . . a o ui a
En 2017 los que se creían inicialmente 41 millones de datos (registros) roba-
dos de Equifax,35 una de las tres mayores empresas de información crediticia de
Estados Unidos, esa cifra llegó posteriormente a 143 millones, datos de Estados
Unidos, Canadá y Reino Unido. Según se pudo saber por parte de la compañía,
los datos fueron extraídos aprovechando una vulnerabilidad dentro su aplicación
web, más específicamente dentro de un servidor, la cual fue explotada durante
dos meses, y cuando se detectó la intrusión y se frenó el acceso, ya era tarde.
A la fecha, la empresa creó un sitio36 para que los afectados pudieran
encontrar información y también para saber si otros clientes fueron afecta-
dos. La empresa además otorgó el servicio de monitorización crediticia de
forma gratuita, que ayudará a los clientes a estar alertas en caso de robo de
identidad que eventualmente pudiera realizarse utilizando lo datos robados.
Sin embargo, el problema y la afectación a la reputación causaron un daño
enorme, además de querellas que por valor de al menos 18,5 millones de
dólares tuvo que pagar la empresa.

7.3. Caso WannaCry

Tal es el nombre de un ransomware37 que el 12 de mayo de 2017 afectó
a equipos de todo el mundo. El malware se aprovechaba de una vulnera-
bilidad del sistema operativo Windows que no estuviera debidamente ac-
tualizado. Es decir que, al momento de realizarse el ataque, la solución ya
había sido publicada y distribuida por Microsoft. Sin embargo, y dado que
no todos actualizan sus sistemas operativos, la propagación de este malware
que impedía el uso de los equipos, solicitando un pago en bitcoins, funcionó
de manera muy efectiva y afectó en las primeras 24 horas a 41.000 equipos
en todo el mundo.
Fue un experto de 23 años del Reino Unido, conocido como Malware
Tech (hoy sabemos que su nombre es Marcus Hutchins38), quien evitó en ese

35 Los datos de 143 millones de personas filtrados ante el hackeo a Equifax, una de las
mayores agencias crediticias [https://bit.ly/2f8YOZF].
36 Incidente de ciberseguridad 2017, información importante para el consumidor [https://
bit.ly/2f7X2I5].
37 Ver nota al pie 22.
38 El héroe de Wannacry, Marcos Hutchins, se declara culpable de crear malware bancario
[https://bit.ly/2vpIWtp].

263
momento una mayor expansión al detectar que el malware cifraba el conte-
nido de un equipo cuando, seguidamente, al no poder conectarse a un sitio
(un dominio de internetInternet), continuaba con el cifrado de los equipos.
Fue así que registró el dominio y, dado que la conexión se establecía, el pro-
ceso se detenía e impedía continuar su actividad.
Este programa también circulaba en las redes internas y se distribuía a tra-
vés de mensajes de correo engañosos que solicitaban hacer algún tipo de clic.
Los reportes generales indican que este malware llegó a afectar aproxi-
madamente a 300 mil equipos en 150 países, y que a un año del episodio hay
equipos que aún siguen sin la actualización correspondiente.
Estados Unidos, en septiembre de 2018 inculpó a un ciudadano norco-
reano39 por ser el creador, pero no hay un consenso al respecto y hay varias
versiones sobre la creación y el objetivo de este ataque, aún sin develar.

8. Conclusiones desde la ciberseguridad a raíz de estos casos

Los problemas como el ransomware se pueden propagar de manera
muy rápida sin fronteras, y sin que ciudadanos y organizaciones entiendan
bien qué pasa; los robos masivos de datos personales (data breach) son cada
vez más frecuentes, y más allá del incidente, debemos saber que esos datos
pueden ser utilizados para suplantar identidad o realizar campañas de desin-
formación utilizando las nuevas técnicas para hacer perfiles de manera ma-
siva. En un sistema que busca hacer muchas actividades de manera remota,
debemos pensar muy bien la forma de identificarnos y los mecanismos de
comunicación.
Los sistemas informáticos y las organizaciones financieras se encuentran
dentro de una infraestructura de proveedores privados y estatales y dan ser-
vicios a los ciudadanos. El ecosistema es amplio y constituyen una especie
de “cadena” de eslabones interdependientes. Los sistemas se vuelven cada
vez más complejos, así que evaluar los riesgos es cada vez más importante e
incluir a cada integrante de la cadena en su nivel de influencia es cada vez
más necesario.

39 “Estados Unidos acusa al hacker norcoreano detrás del ciberataque Wannacry y el de

Sony” [https://bit.ly/2MrZiwW].

264
9. Organismos internacionales y sus recomendaciones para el
desarrollo de una economía digital confiable
Se están explorando innovaciones disruptivas posibles solo con el aporte
de la tecnología. Se intentan mejoras para la vida de las personas como nun-
ca nos hubiéramos imaginado. Sin embargo, en la lluvia de ideas llevadas
a la práctica se están descuidando los riesgos inherentes. En la vorágine de
los cambios se promueven beneficios y funcionalidad sin las evaluaciones de
riesgo adecuadas, resaltando solo sus beneficios.
Los problemas derivados de esta evolución se ven en artículos periodís-
ticos, en informes de especialistas y en el avance de organizaciones interna-
cionales que promuevan medidas para abordar la problemática.
Casos como el de Facebook-Cambridge Analytica,40 que en su origen
fue la recopilación de información sensible de 277.000 personas en 2014,
para una investigación académica, terminó siendo información de personas
y sus contactos, utilizada para hacer perfiles de votantes de 87 millones de
personas en todo el mundo y finalmente usada en las elecciones de Estados
Unidos en 2016. Un caso que se hizo mundialmente conocido y que llevó
al CEO de Facebook, Mark Zuckerberg, a declarar ante el Congreso son
efectos del poco entendimiento que hay por parte de las instituciones tradi-
cionales sobre las implicancias de la tecnología en la vida moderna.
En las distintas regiones se avanza de manera muy desigual, incluso no hay
consenso acerca de cómo realizar un abordaje efectivo dada su multidimensio-
nalidad. Los aspectos tecnológicos ya no son laterales a la protección de dere-
chos, son parte sustancial, como también lo son para el desarrollo económico.
Las grandes organizaciones internacionales que comienzan a tratar con
el desarrollo de una economía digital de los países plantean como un punto
central, temas como los riesgos y la confianza, como es el caso del informe de
2017, y en “Perspectivas de la OCDE sobre economía digital de 2017”.41 Sin
embargo, para los países de Latinoamérica y sus políticas internas, las medidas
de protección están siendo adoptadas de manera muy lenta y gradual.

40 “Facebook y Cambridge Analytica: 10 claves para entender el robo de datos” [https://

bit.ly/2vnl49V].
41 “Perspectivas de la OCDE sobre la economía digital 2017”, disponible en 26 idiomas
[https://bit.ly/2INb96h].

265
 En 2018 el Banco Mundial publicó un informe42 muy interesante pro-
ducto del creciente impacto de los ataques al sector financiero, en el que
indica que este tipo de ataques está en aumento y que las autoridades buscan
abordar el riesgo cibernético —o ciberriesgo— y la ciberseguridad.
Asimismo, se indica que los clientes de servicios financieros sufrieron un
65% más de ciberataques en 2016 que los clientes de cualquier otra industria, lo
que representó un aumento del 29% con respecto al año anterior y también re-
salta la importancia de mejorar la coordinación entre las autoridades del sector
financiero y otras agencias de gobierno que se ocupan del riesgo y la cibersegu-
ridad a escala nacional, y se menciona que varios países líderes están fortalecien-
do las prácticas de regulación y supervisión para hacer frente a la problemática.

10. Recomendaciones y buenas prácticas del Banco Mundial

sobre ciberseguridad
• Establecimiento de protocolos de coordinación entre las autoridades
del sector financiero y otras agencias involucradas en la regulación y
supervisión del ciberriesgo cibernético, similares a las existentes para
la estabilidad financiera.
• Intercambio voluntario y anónimo de información sobre ciberinci-
dentes entre participantes del mercado. Los reguladores pueden de-
sarrollar taxonomías de riesgo e incidente y requieren informes obli-
gatorios para estimar el impacto real o potencial en la continuidad de
los servicios esenciales para facilitar el intercambio de información.
• Algunas jurisdicciones solicitan a las instituciones financieras que
desarrollen una estrategia de TIC y un marco de gestión de ries-
gos, incluidos los planes de respuesta a incidentes con una cadena
de mando clara para tomar las decisiones empresariales necesarias.
Algunos países también requieren el nombramiento de un oficial de
seguridad de la información.
• Las instituciones financieras deben realizar pruebas de escritorio y
simulaciones regulares de las capacidades de respuesta a incidentes.
En ese mismo informe se concluye la necesidad de realizar más trabajo
sobre las tareas de regulación y supervisión en materia de ciberseguridad.

42 “Ciberseguridad en el sector financiero: eegulación y supervisión” [https://bit.ly/2ZFRnib].

266
11. Principios fundamentales de ciberseguridad del G7 para el
sector financiero
Citado en el informe anterior, y no menos importantes, son los princi-
pios o “elementos fundamentales de la ciberseguridad”43 establecidos por
el G7 para el sector financiero publicados en octubre de 2016, resaltando
la necesidad de promover la consistencia entre los enfoques, en este caso,
de los socios del G7.
Los siete países más ricos del mundo —Estados Unidos, Canadá, Japón,
Alemania, Reino Unido, Italia y Francia— están invitados a aplicar estas
disposiciones sin que sea legalmente obligatorio. Esto representa un hecho
“único e histórico”, afirmó la secretaria adjunta de la Reserva Federal de
Estados Unidos en ese momento, Sarah Bloom Raskin.
Esos principios fueron adoptados para fines de 2016 luego del “incidente
Bangladesh con Swift”, la red de intercambio de transacciones de alto valor,
que afectó al sistema financiero constituyéndose en el mayor incidente de ese
año y hasta la fecha.
Vale mencionar que siempre que se hable de medidas generales y que sigan
buenas prácticas, puede verse una homogeneidad de lineamientos, que podrían
ser adoptados por cualquier institución del mundo (a nivel de principios).
Los siete elementos fundamentales de ciberseguridad del G7 son los
siguientes:
• Elemento 1. Estrategia y marcos de trabajo de ciberseguridad. El propósito
de una estrategia y un marco de ciberseguridad es especificar cómo
identificar, gestionar y reducir efectivamente los ciberriesgos de ma-
nera integrada y global. Las entidades en el sector financiero debe-
rían establecer estrategias y marcos de ciberseguridad éticos adapta-
dos a su tamaño, complejidad, perfil de riesgo y cultura, teniendo en
cuenta las amenazas y vulnerabilidades. También se pueden estable-
cer estrategias y marcos de seguridad en todo el sector que describen
cómo se produce la cooperación entre entidades y autoridades pú-
blicas en el sector financiero con otros sectores de los cuales depende
el sector financiero, y con otros países.

43 G7 Fundamental Elements of Cybersecurity for the Financial Sector [https://bit.

ly/2V1bzwq].

267
• Elemento 2. Gobierno. Las estructuras de gobierno efectivas refuerzan
la responsabilidad al articular asignación de responsabilidades cla-
ras. El gobierno efectivo también media entre objetivos competitivos
y fomenta la comunicación entre las unidades operativas, la tecno-
logía de la información, el riesgo y las actividades relacionadas con
el control de acuerdo con sus misiones y estrategias, las juntas direc-
tivas (o similares), organismos de supervisión de entidades o autori-
dades públicas deberían establecer la tolerancia al ciberriesgo para
sus entidades y deberían supervisar el diseño, la implementación y la
eficacia de los programas relacionados con la ciberseguridad.
• Elemento 3. Evaluación de los controles y el riesgo. Como parte de un progra-
ma de gestión de riesgos de la empresa, las entidades deberían evaluar
el ciberriesgo inherente (o el riesgo sin ningún control compensatorio)
presentado por las personas, procesos, la tecnología y los datos sub-
yacentes que respaldan cada función, actividad, producto y servicio.
Las entidades deberían identificar y evaluar la existencia y efectividad
de los controles para protegerse del riesgo identificado a fin de llegar
al riesgo cibernético residual a un nivel aceptable. Los mecanismos
de protección pueden incluir evitar o eliminar el riesgo al no par-
ticipar en una determinada actividad. También pueden mitigar el
riesgo a través de la definición de controles o compartir o transferir el
riesgo. Además de evaluar los riesgos propios de una entidad a partir
de sus funciones, actividades, productos y servicios, las evaluaciones
de control deben considerar, según corresponda, los ciberriesgos que
la entidad presenta para terceros y para el sector financiero en su
conjunto. Las autoridades del sistema financiero debe establecer un
mapa de cómo funciona la economía y sus sistemas financieros como
parte de sus evaluaciones de riesgo y control para identificar puntos
de fallo y riesgos de concentración. Las funciones económicas críticas
del sector van desde los de toma de depósitos, préstamos y pagos a
negociación, compensación, liquidación y custodia.
• Elemento 4. Monitoreo. El monitoreo efectivo ayuda a las entidades a ad-
herirse a las tolerancias de riesgo establecidas, y a mejorar o remediar
las debilidades en los controles existentes. Los protocolos de pruebas
y auditorías son esenciales. Mecanismos de garantía tanto para enti-

268
 dades como para autoridades públicas. Dependiendo de la naturaleza
de una entidad y su entorno de control y perfil de riesgo, las funciones
de prueba y auditoría deben ser apropiadamente independientes del
personal responsable de la implementación y gestionando el progra-
ma de ciberseguridad. A través de exámenes, presenciales y otros de
supervisión, mecanismos, análisis comparativo de los resultados de las
pruebas de las entidades y ejercicios conjuntos público-privados, las
autoridades pueden comprender mejor las amenazas y vulnerabilida-
des informáticas de todo el sector, así como los perfiles y capacidades
de riesgo relativo de las entidades individuales.
• Elemento 5. Respuesta. Como parte de sus evaluaciones de riesgo y
control, las entidades deben implementar políticas de respuesta a
incidentes y otros controles para facilitar una respuesta efectiva de
manera colaborativa. Entre otras cosas, estos controles deben abor-
dar claramente las responsabilidades en la toma de decisiones, de-
finir procedimientos de escalamiento y establecer procesos para co-
municarse con las partes interesadas internas y externas. Haciendo
ejercicios, mediante la adopción de protocolos internos y entre las
entidades, las autoridades contribuyen a respuestas más efectivas.
Los ejercicios también permiten a las entidades y las autoridades
identificar las decisiones potenciales que podrían afectar la capaci-
dad de los participantes de mantener funciones, servicios y activida-
des críticas y de las otras actividades que no siendo críticas para las
organizaciones, pueden ser críticas para los ciudadanos.
• Elemento 6. Recuperación. Una vez que se garantiza la estabilidad y la
integridad operativas, la recuperación rápida y efectiva de las opera-
ciones debe basarse en la priorización de las funciones críticas y de
acuerdo con los objetivos establecidos por las autoridades pertinen-
tes. El mantenimiento de la confianza en el sector financiero mejora
significativamente cuando las entidades y las autoridades tienen la
capacidad de ayudarse mutuamente en la reanudación y recupera-
ción de funciones, procesos y actividades críticas. Por lo tanto, antes
de que ocurra un incidente, establecer y probar planes de contin-
gencia para actividades esenciales y procesos clave, como la finan-
ciación, puede contribuir a una recuperación más rápida y efectiva.

269
 • Elemento 7. Compartir información. Compartir información técnica,
como indicadores de amenazas o detalles sobre cómo se explotaron
las vulnerabilidades, permite a las entidades mantenerse actualiza-
das en sus defensas y aprender sobre los métodos más actualizados
que están siendo utilizados por los atacantes. El intercambio de ideas
más amplias entre entidades y autoridades, y entre las mismas au-
toridades, profundiza la comprensión colectiva de cómo los atacan-
tes pueden explotar vulnerabilidades en todo el sector que podrían
interrumpir las funciones económicas críticas y poner en peligro la
estabilidad financiera. Dada su importancia, las entidades y las auto-
ridades públicas deben identificar y abordar los impedimentos para
el intercambio de información.
• Elemento 8. Aprendizaje continuo. Las amenazas y vulnerabilidades del
ecosistema ciber evolucionan rápidamente, al igual que las buenas
prácticas y los estándares técnicos. La composición del sector finan-
ciero también cambia con el tiempo, a medida que surgen nuevos ti-
pos de entidades, productos y servicios, y se confía cada vez más en
proveedores de servicios de terceros. Las estrategias y los marcos de
ciberseguridad específicos de cada entidad, así como sectoriales, nece-
sitan revisión periódica y actualización para adaptarse a los cambios
en el entorno de control y amenazas, mejorar la concientización del
usuario y desplegar recursos de manera efectiva. Otros sectores, como
la energía y las telecomunicaciones, presentan dependencias externas;
por lo tanto, entidades y autoridades deben considerar los desarrollos
en estos sectores como parte de cualquier proceso de revisión.

12. La infraestructura crítica y el sector financiero

Estos principios pueden ser considerados un compendio de los principa-
les aspectos de las consideraciones realizadas al comienzo de este capítulo,
buenas prácticas para el gobierno y la gestión de la ciberseguridad en el
sector financiero. El acceso a la tecnología y la conectividad son importantes
a la hora de pensar en el desarrollo de la economía digital, en la práctica, se
traduce en crecimiento de la oferta y fortalecimiento de la infraestructura, y
también en este sentido es cuando la infraestructura pasa a ser vital para que
en el funcionamiento de un Estado se transforme en infraestructura crítica.

270
 En las sociedades más conectadas, y también en la nuestra, estas infraes-
tructuras deben protegerse a fin de prevenir que su colapso o degradación
afecte de manera grave, porque si así ocurriese, toda la sociedad sufriría las
consecuencias, es así por ejemplo que se puede citar el caso de Singapur, que
ampliaremos a continuación.
Por otro lado, estos problemas no tienen fronteras para su despliegue,
como ya se dijo, aunque sí se generan muchas dimensiones para su trata-
miento, desde las internacionales por industria, las locales, las regionales,
caso Unión Europea u OEA, y por eso es muy importante coordinar esfuer-
zos, para la protección no solo de los ciudadanos, a las organizaciones, sino
también de la las sociedad y los Estados.
En países que comenzaron a abordar estos problemas mediante regu-
lación, desde hace muchos años se advierte una multiplicidad de normas
que hacen a la protección de las personas en sus distintas facetas, como por
ejemplo normas para la protección desde los pacientes y sus datos médicos,
normas de protección de las personas como consumidores, la protección de
los datos personales y de la privacidad, luego normas penales para perseguir
conductas, enfoques parciales y siempre restringidos al ámbito legal, es de-
cir, a una jurisdicción, en un ecosistema en el que las empresas que brindan
servicios en su mayoría son globales.
También dentro de los servicios financieros puede haber normativa para
seguros, para organizaciones de préstamos, que en países pueden ser regula-
dos por la misma autoridad y en otros, no. El tema regulatorio y el desarrollo
tecnológico es hoy todo un desafío, muchas reglas impuestas donde los ser-
vicios eran claramente categorizados y definidos por principios del mundo
físico ya no tienen sentido y algunos casos limitan su desarrollo.
Establecer reglas claras implica también que esas reglas deban poder
ser comprendidas y puestas a disposición del público en general, además de
los especialistas, conceptos como transparencia, neutralidad tecnológica se
vuelven importantes, también en estos temas.
Se mencionó Singapur porque repetidamente suele citarse como ejemplo
a seguir por su despliegue tecnológico actual.44 En ese sentido, se transcribe
a continuación un fragmento del discurso de Elean Chin, jefa de la División,

44 “Singapur y su tecnología de vanguardia” [https://bit.ly/2VwT5TI].

271
autoridad monetaria de Singapur, en el lanzamiento del Proyecto de Escena-
rio del Proyecto de Gestión de Riesgo Cibernético el 29 de enero de 2019,45
haciendo referencia a la respuesta legislativa global al riesgo cibernético o ci-
berriesgo, menciona: “4. Para enfrentar esta catástrofe moderna, necesitamos
una nueva mentalidad, estrategias multifacéticas y una asociación público-pri-
vada. Se están realizando esfuerzos globales para responder a este riesgo. Los
foros de formulación de políticas, como la OCDE y el G20, han formulado
recomendaciones de políticas sobre la gestión del riesgo cibernético. El FSB
publicó recientemente un “cyber lexicon” que facilitaría la comunicación y
el intercambio de información sobre amenazas cibernéticas. El FSB también
establecerá un nuevo grupo de trabajo sobre respuesta y recuperación de cibe-
rincidentes (CIRR) este año, que será presidido por el MAS. El grupo de traba-
jo desarrollará un conjunto de herramientas para ayudar a las instituciones fi-
nancieras a responder y recuperarse de los ciberincidentes de manera efectiva.
”5. En más de 70 países se ha aprobado legislación de protección de
datos, incluida la introducción, actualización o entrada en vigor de la legis-
lación en China, Tailandia, Japón, Australia y Nueva Zelanda. En Corea, las
autoridades han ido un paso más allá, al exigir a los proveedores de servicios
de comunicaciones e información que tomen seguros para casos de viola-
ción de datos (databreach)”.
En la cita se pueden ver los incipientes trabajos que existen para hacer frente
a estos problemas que aún no tienen respuestas efectivas, y en el que se puede
leer que no fue hasta 2018 que el Consejo de Estabilidad Financiera (FSB) que
funciona con fondos del G20, realizó un glosario, denominado cyber lexicon,46
para que los especialistas de ciberseguridad y la industria financiera pudiera es-
tablecer un mínimo de términos comunes para lograr comunicar los problemas
y trabajar en consecuencia, y no fue hasta 2019 que han dedicado esfuerzos a
trabajar en un conjunto de herramientas para facilitar la respuesta ante inciden-
tes que pudieran afectar de manera grave a la estabilidad financiera. Como de-
talle, este documento en el que se define ciberincidentes y ciberriesgo, así como
autenticación, fue entregado en una de las reuniones realizadas en Buenos Aires,
en diciembre de 2018, en ocasión de la reunión del G20.

45 Discurso Elean Chin, de la Autoridad Monetaria de Singapur (MAS) [https://bit.

ly/2VwTmWK].
46 Cyber Lexicon [https://bit.ly/2V5OEMO].

272
 Otro ejemplo del grado de madurez en la comprensión de esta proble-
mática es, por ejemplo, la definición de data breach, y sus debates derivados,
que figura en el glosario del FSB, dando dimensión de la transnacionalidad
de los problemas de seguridad, y que en el citado documento, en inglés, se
define como: “Data breach: Compromise of security that leads to the acci-
dental or unlawful destruction, loss, alteration, unauthorised disclosure of, or
access to data transmitted, stored or otherwise processed”.47
Para la seguridad informática, hasta hace un tiempo, cuando se hablaba
de data breach, se hacía referencia a una fuga de datos, pero desde hace
unos años las noticias sobre de fugas masivas de datos48 le ha dado un nuevo
significado, así como cuando el “Reglamento general europeo de protección
de datos” adoptó y redefinió el término como: “personal data breach means a
breach of security leading to the accidental or unlawful destruction, loss, al-
teration, unauthorised disclosure of, or access to, personal data transmitted,
stored or otherwise processed”.49
Se ve que son bastante parecidas pero no iguales, en el primer caso, del
cyber lexicon, no se hace referencia a datos personales, con lo cual queda su-
jeto a problemas con datos que fueron expuestos y luego surge en el primer
caso la denominación de un compromiso de la seguridad, expresión muy
utilizada en seguridad informática y por la cual se entiende que hubo un
problema de seguridad con un sistema informático y que la seguridad se vio
afectada, es decir, alguna de sus propiedades (la integridad, confidencialidad
o disponibilidad). En el segundo caso, una violación o transgresión de la
seguridad también implica que la seguridad fue afectada.
Cuando la seguridad se ve comprometida, como consecuencia, un in-
cidente ocurre, un evento no deseado causó un daño, sin o con intención.
Es importante que la investigación sobre los incidentes en los que los datos

47 La traducción sería: Compromiso de seguridad que lleva a la destrucción, pérdida,

alteración, divulgación no autorizada o acceso a datos transmitidos, almacenados o
procesados de forma accidental o no autorizada.
48 “Las 18 mayores violaciones de datos del siglo xxi”, en CSO, 20/12/2018 [https://bit.
ly/2EDbeVu].
49 En este caso, “vulneración de datos personales” podría traducirse como una violación
de la seguridad que lleva a la destrucción, pérdida, alteración, divulgación no autorizada
o acceso a datos personales transmitidos, almacenados o procesados de manera no
autorizada o accidental.

273
personales se vean involucrados puedan atenderse dentro de la gestión ge-
neral de incidentes porque implicaría de por sí, que como aspira la gestión
de incidentes, una respuesta fue preparada por la organización y el impac-
to podría minimizarse, este aspecto fue especialmente tenido en cuenta en
el abordaje que hace la OCDE en su Manual para la economía digital50 sobre
el tema.

13. Recomendaciones de la OCDE para la seguridad digital (del

Manual para la economía digital)
El Manual fue una iniciativa en conjunto del Banco Interamericano de
Desarrollo (BID) y la OCDE para fomentar la expansión de las redes y ser-
vicios de banda ancha en la región, apoyando un enfoque coherente e in-
tersectorial, para maximizar sus beneficios para el desarrollo económico y
social. Basándose en las experiencias de los países de Latinoamérica y Cari-
be, y de la OCDE, el Manual describe los principales objetivos de la política
en este ámbito y proporciona una guía para su medición, una visión general
de la evolución de la región y una recopilación de buenas prácticas en varias
áreas relacionadas con políticas de banda ancha. Esta recopilación abarca
una amplia variedad de áreas, estrategias digitales, marcos regulatorios, ges-
tión del espectro, competencia e infraestructura deficiente, acceso de banda
ancha, asequibilidad, tributación del sector, inclusión digital, convergencia,
integración regional, educación, habilidades, adopción por parte de las em-
presas, contenido local, sanidad, gobierno digital, política de los consumido-
res, seguridad digital y privacidad.
En el capítulo 14, “Gestión de riesgos de seguridad digital”,51 se hace re-
ferencia a la necesidad de acortar la brecha digital y de gestionar los riesgos
de seguridad digital:
• necesidad de estrategias nacionales de seguridad digital, con respon-
sabilidad de distintos actores;
• comprensión de la seguridad digital y de la responsabilidad de los
distintos actores en su gestión;
• colaboración de las partes interesadas y

50 “Un manual para la economía digital”, l/11/2016 [https://bit.ly/2ISk9XV].

51 Capítulo 14: Gestión de Riesgos de Seguridad Digital [https://bit.ly/2V2OR74].

274
 • fomento de la cooperación internacional y asistencia mutua.
De todas las recomendaciones, existen un conjunto de recomendaciones
para los equipos de respuesta a incidentes de seguridad (CSIRT, por sus
siglas en inglés).

14. Recomendaciones para la comunidad de CSIRT

El Foro de Gobernanza de Internet (IGF, por sus siglas en inglés) eligió
los CSIRT como uno de los temas de los foros de buenas prácticas de 2014.
A continuación se enumera una selección de las recomendaciones:
• Es necesario que los responsables de políticas debatan con la comu-
nidad de CSIRT sobre el papel de estos equipos para evitar ideas
equivocadas acerca de su cometido.
• Se recomienda a los CSIRT participar activamente en los debates
de políticas que resulten pertinentes, tanto a escala nacional como
internacional. En aras de colaborar con otras partes interesadas, es
importante estar donde ellas estén, puesto que de esta forma se ejer-
ce influencia y se facilita la comprensión.
• Cualquier gobierno tiene derecho a crear los CSIRT que necesite,
aunque conviene tomar una decisión fundada que tenga en cuenta
las posibles consecuencias.
• En lo referente a los CSIRT, la privacidad y la seguridad han de ir de
la mano para que resulten realmente eficaces.
• El núcleo de la labor de los CSIRT debe ser la protección de datos.
• Es recomendable implicar en mayor medida a los responsables de
protección de datos en la labor de los CSIRT.
• Para garantizar la transparencia y la rendición de cuentas en lo que
respecta a la protección de datos se recomienda realizar estudios para
dilucidar si un protocolo estándar puede contribuir al fomento de la
transparencia, además de la adopción de decisiones más conscientes
sobre los límites de la información compartida, la anonimización de
datos en la medida de lo posible y la manipulación de los datos por
parte de los CSIRT.
• Conviene que los CSIRT minimicen la recopilación y el tratamiento
de datos, y se centren en su circunscripción y en la anonimización de
la información pertinente.

275
 • Un CSIRT bien gestionado es parte esencial de la protección de
datos y la seguridad en una sociedad.
• Se recomienda estudiar con mayor detalle la función cada vez más
amplia de los CSIRT. Podría examinarse, por ejemplo, si existen lí-
mites razonables a las tareas asignadas y qué papel puede desem-
peñar un CSIRT en la mejora de la cooperación en la cadena de
seguridad entre otros actores, como fabricantes de productos TIC
y proveedores de servicios TIC, o analizar si la definición actual de
CSIRT se ajusta a la realidad de la labor requerida y encomendada.
• Se aconseja un estudio más profundo de la forma en que los CSIRT
y las fuerzas de seguridad pueden aumentar su cooperación de ma-
nera significativa en el marco de sus respectivas misiones.
• Conviene profundizar en la divulgación responsable de la informa-
ción y en cómo crear condiciones para que los hackers éticos —tam-
bién llamados investigadores independientes— puedan contribuir a
que Internet sea más segura para todos.
• Los CSIRT contribuyen a tratar los efectos de la ciberdelincuencia y
a aportar apoyo técnico a las investigaciones, pero el delito informá-
tico es ante todo un delito y, como tal, debe ser tratado por organis-
mos de seguridad como la policía. Si un CSIRT dedica demasiados
esfuerzos a esta labor o forma parte de un organismo encargado de
aplicar la ley, es probable que su capacidad para trabajar con el sec-
tor privado se vea afectada.

15. Consideraciones finales

El ecosistema de los servicios financieros está conformado hoy por una
variedad de actores que, con distinta incidencia, interactúan de manera re-
gular, con el ingreso de las distintas tecnologías, hay nuevos actores tales
como las big tech,52 como Apple, Google, Facebook y Amazon, que plantean
riesgos a los grandes actores tradicionales; las que primero ayudaban a dis-
minuir costos pueden ser aquellas que se queden con parte del negocio. Pero
también están las fintech, las empresas que dan ciertos servicios financieros

52 “Análisis. Los peligros y beneficios de la disrupción BigTech/fintech” [https://bit.

ly/2KXLaLo].

276
con un fuerte contenido tecnológico en sus procesos y servicios, que vienen
a desafiar de alguna manera las formas tradicionales en que se brindan este
tipo de servicios.
Hay variedad de riesgos a considerar, sin embargo, las mayor parte de
las recomendaciones para las organizaciones están dirigidas a evaluar el ries-
go desde el más alto nivel, es decir, a considerar fuertemente los problemas
de no asegurar al negocio de manera integral, incorporando problemas ori-
ginados en fallas, errores o ataques a los servicios basados tecnología, por su
propia supervivencia.
Al mismo tiempo, hay riesgos que nos afectan como consumidores al
utilizar estos servicios y de los cuales muchas veces el público general no tie-
ne conocimiento hasta que se ve afectado. De a poco las regulaciones ponen
requisitos mínimos de seguridad, ya que no es un valor que el cliente pueda
apreciar en la oferta si no posee conocimientos específicos, en este sentido,
es necesario coordinar esfuerzos para que los beneficios que aporta la tecno-
logía puedan ser aprovechados sin descuidar los riesgos.

277
Fintech: los desafíos para la privacidad
en la economía de los datos
por Leandro Ucciferri, Asociación por los Derechos Civiles1

1. Introducción
En un país famoso por los vaivenes económicos, la devaluación de la
moneda, la inflación y la presión impositiva, hablar sobre la “revolución del
sector financiero” se convierte en una tarea ardua. Sin embargo, una nueva
ola de emprendimientos se plantean precisamente ese desafío. ¿Su carta de
presentación? La vía hacia a la inclusión y educación financiera.
Se impone entonces analizar con detenimiento cuáles son las narrativas
que se promueven al momento de ofrecer nuevas soluciones, con fines que
en la superficie pueden resultar nobles, en un sector que en el ámbito inter-
nacional empieza a fomentar una agenda basada en la explotación de datos
personales como un nuevo paradigma económico.
Este informe busca presentar los interrogantes que, desde el punto de
vista de la sociedad civil, consideramos necesarios introducir al trabajo pro-
movido desde el sector fintech.
El término fintech —contracción anglosajona de la expresión “financial te-
chnology”— se refiere al uso o aplicación de tecnología con la cual se busca
repensar la manera en que se proveen los servicios en el ámbito financiero.

1 Este informe fue realizado como parte de un proyecto que contó con el apoyo de
la Fundación Ford, el mismo es publicado bajo una licencia Creative Commons
Atribución-No Comercial-Compartir Igual. Para ver una copia de esta licencia, visite:
https://creativecommons.org/licenses/by-nc-sa/4.0/.
El documento “Fintech: los desafíos para la privacidad en la economía de los datos” es
de difusión pública y no tiene fines comerciales.
Agradecemos por el tiempo dedicado a entrevistas para nuestra investigación a: Sylvia
Gabriela Andrade, Banco Interamericano de Desarrollo; Mariano Biocca, Coordinador
General de la Cámara Argentina de Fintech; Andrés Chomczyk, abogado asociado en
Allende & Brea; Santiago Mora, Prof. Fintech Law UDESA, UTDT & UBA; Mateo
Piccolo y Nicolás Perri, Mesa de Innovación Financiera del Banco Central de la
República Argentina; Néstor Serravalle, Global Chief Sales Officer, y Laura Vaillard,
Communications & Marketing Manager, de VU Security; Pablo Ces, CEO de Flexibility.
El presente documento fue elaborado por Leandro Ucciferri, analista de políticas
públicas, abogado e investigador de la Asociación por los Derechos Civiles (ADC).
Edición y revisión: Matías Chamorro.

279
 Los emprendimientos que fueron surgiendo en los últimos años, con la
mirada fija en irrumpir en el mercado financiero tradicional argentino, se
encuentran enfocados en tres aristas clave: el acceso a créditos, el impulso de
la educación financiera y el fomento de la inclusión financiera.
El origen de las fintech, o de la tecnología financiera per se, no es algo
que se haya dado en el último lustro. Cabe mirar en retrospectiva algunos
hitos de la historia de los servicios financieros para notar que la tecnología, al
igual que en diversos aspectos de la vida en sociedad, comenzó a tomar cada
vez mayor preponderancia hacia finales del siglo xx. La llegada del cajero
automático (Automated Teller Machine o ATM) a finales de los 60 y luego el
home banking, impulsado gracias al desarrollo de Internet, marcaron hitos
en la manera en que las personas se relacionaban con los bancos y los diver-
sos proveedores de servicios financieros.
Entonces, ¿qué cambió en los años posteriores para que las fintech se auto-
denominen como una revolución de la industria financiera? Hay tres aspectos
clave para destacar, que permiten entender las bases que facilitaron la genera-
ción de un ecosistema de empresas enfocadas por completo en el mundo digital.
• la omnipresencia de la tecnología y la reducción en los costos para el
acceso a productos de consumo, como los smartphones y las tablets,
con mercados de aplicaciones que posibilitan el desarrollo de software
específico con el potencial de alcanzar a miles o millones de personas;
• el incremento en el acceso global a Internet, logrando que las per-
sonas estén conectadas la mayor parte del día, con la posibilidad de
acceder casi al instante a cualquier servicio online;
• el desarrollo de nuevos modelos de negocios basados en la genera-
ción, recolección y análisis de datos personales.
Cuando se habla del sector fintech, parece hacerse referencia a un grupo
homogéneo de empresas con el mismo foco, pero en la realidad existe una di-
versidad de ámbitos en los que se especializan los múltiples emprendimientos.
En el mercado argentino, las empresas fintech se categorizan en ocho vectores:
- financiamiento colectivo;
- insuretech (servicios de seguros);
- inversiones;
- pagos y transferencias;
- blockchain y criptomonedas;

280
 - servicios fintech;
- seguridad informática;
- préstamos.
Según un estudio reciente, existen al menos 133 empresas que operan
dentro del ecosistema fintech argentino, la mayoría catalogada como pe-
queñas y medianas empresas (pyme). Con estos datos, hacia fines de 2018
la Argentina se ubicó tercera en América Latina por cantidad de empresas
especializadas en tecnología financiera, por debajo de México y Brasil.2 La
mayoría de las empresas fintech radicadas en el país considera —o tiene en
la mira— su expansión hacia el resto de la región, no solo como una pre-
caución debido a la coyuntura económica sino porque el mismo mercado es
limitado para el potencial crecimiento de sus negocios.
En menos de cinco años, este sector protagonizó un crecimiento expo-
nencial. Debido a que en el país había varios emprendedores que desarro-
llaban tecnología en el ámbito financiero, persiguiendo objetivos mediana-
mente similares pero en forma desorganizada, e incluso desde antes que se
comenzara a hablar del término fintech con la popularidad que sostiene en
la actualidad, un grupo compuesto por algunos de los principales empren-
dimientos del sector decidió unir fuerzas. A fines de 2017, un conjunto de
emprendedores del ámbito tecnológico-financiero fundó la Cámara Argen-
tina de Fintech,3 con el propósito de ordenar y agrupar a las empresas en sus
distintos focos de especialidad.
La cámara trabaja en tres ámbitos. En primer lugar, representando al
sector privado fintech, con el objetivo de conocerse entre los distintos acto-
res, coordinar acciones, compartir buenas prácticas y establecer protocolos.
En segundo lugar, con el sector público, para consolidar una agenda y ten-
der puentes con organismos estatales como el Banco Central de la República
Argentina (BCRA), la Administración Federal de Ingresos Públicos (AFIP)
y la Superintendencia de Seguros de la Nación (SSN). Finalmente, en la
academia, para mejorar los niveles de capacitación en universidades vincu-
lados a las necesidades del sector tecnológico financiero y presentarse hacia
el mundo estudiantil.

2 “Informe ecosistema Fintech argentino”, Accenture y Cámara Argentina de Fintech,

2018 [https://bit.ly/2KTmcv0].
3 Ver: https://camarafintech.com.ar/

281
 Uno de los debates más acalorados en el sector, donde los consensos no
fueron fáciles de lograr, es sobre el aspecto de la regulación, no tanto para
preguntarse si deben imponerse nuevas reglas o no, sino para responder al
cómo hacerlo.
De acuerdo con la legislación vigente, el BCRA no cuenta con fa-
cultades regulatorias sobre todas las compañías fintech solo por proveer
servicios financieros, sino únicamente sobre aquellas que se dedican a la
intermediación financiera4 u otras actividades reguladas por esta entidad
bancaria. Esto surge de la Carta Orgánica del BCRA y de la Ley de Enti-
dades Financieras.
A pesar de esta situación, en vez de imponer regulaciones de entrada,
a mediados de 2016 el BCRA inició un espacio de diálogo y cooperación
entre los principales actores del sector financiero, con el objetivo de empezar
los intercambios necesarios para el fomento del desarrollo de los diversos
emprendimientos, incluyendo tanto a las instituciones más tradicionales, los
grandes bancos, como también a las emergentes pymes fintech.
Así fue cómo nació la Mesa de Innovación Financiera.5 Esta iniciativa
se compone de tres grupos de trabajo que tienen el propósito de desarrollar
una propuesta de política que luego presentan ante el BCRA. Las especia-
lidades de los grupos son: medios e infraestructura de pagos; tecnologías y
sistemas transversales; y canales alternativos de crédito y ahorro.
Desde su creación, la mesa ha sido el principal puente entre el sector pri-
vado y el Estado en todo lo referente a las tecnologías financieras. Este espa-
cio llevó a concretar varias políticas: se introdujo la interoperabilidad entre
billeteras electrónicas y cuentas bancarias; se mejoraron las funciones y usos
del medio de pago Débito Inmediato (Debin);6 se alcanzó un estándar para
los pagos móviles mediante el uso de códigos de respuesta rápida (o QR, por
sus siglas en inglés); y fue hogar de la prueba piloto del Sistema de Identidad
Digital (SID)7 con el Registro Nacional de las Personas (Renaper), para la
verificación de la identidad de usuarios mediante reconocimiento facial.

4 Definido por el artículo 1 de la Ley de Entidades Financieras como aquellas que “realicen
intermediación habitual entre la oferta y la demanda de recursos financieros”.
5 Ver: https://bit.ly/31Bu4Hm.
6 Ver: https://bit.ly/2KlzSz6.
7 Ver: https://bit.ly/2RiJ8ou.

282
 A comienzos de 2019, el directorio del BCRA formalizó esta iniciativa
que trabaja bajo las órbitas de la Subgerencia General de Regulación Finan-
ciera y la Subgerencia General de Medios de Pago, asignando recursos de
las Gerencias de Emisión de Normas, de Desarrollo Financiero y de Siste-
mas de Pago para llevar adelante su coordinación.8

2. Tecnología en el sector financiero

Como se mencionó en la sección anterior, los principales fines perse-
guidos por las fintech están enfocados en promover la inclusión financiera e
incrementar la educación de las personas, como las potenciales clientes de
sus servicios para dar a conocer al sector.
Según datos de la cámara, casi la mitad de las empresas del sector dirige
su modelo de servicios a los usuarios finales. Dentro de ese grupo, el 65%
tiene como usuarios a personas con ingresos mensuales debajo de los 50 mil
pesos, en su mayoría adultos jóvenes entre 25 y 40 años.9 El Banco Mundial
calculó en 2017 que solo un 49% de las personas en Argentina está bancari-
zada o semibancarizada.10
Para avanzar en la inclusión de las personas que se encuentran fuera del
mercado tradicional de servicios financieros, el reciente informe de la cáma-
ra marca tres obstáculos concretos. En primer lugar, el aspecto geográfico,
que implica que los proveedores de servicios tradicionales no abarcan al
total de la población dispersa en el territorio argentino. En segundo lugar, el
conjunto de requisitos solicitados que son representados por la puntuación
(denominado credit scoring en inglés) asignado a la persona, lo que determi-
na, por lo general, el acceso a los diversos servicios financieros. Por último,
el costo de los servicios prestados.
Detrás de los objetivos de inclusión y educación financiera, podemos
identificar dos narrativas subyacentes que orientan los avances y los desarro-
llos tecnológicos que impulsa el sector. En primer lugar, la identidad de las
personas, compuesta por distintas fases que terminan dando forma a un perfil

8 Ver: https://bit.ly/2ZrQnNA.
9 “Informe ecosistema Fintech argentino”, Accenture y Cámara Argentina de Fintech,
2018, pág. 37.
10 The Global Findex Database 2017 [https://globalfindex.worldbank.org/].

283
único, donde confluyen la “identidad financiera”11 con la “identidad digi-
tal”12. En segundo lugar encontramos la narrativa sobre el uso incremental
de distintos datos personales como la fuente de alimentación de los sistemas
que juzgan la condición de las personas para el acceso a los servicios finan-
cieros. Estos procesos se basan, cada vez más, en información que no fue
diseñada, creada o recolectada originalmente para tal fin, teniendo como
efecto colateral que las personas no puedan ser conscientes de la magnitud y
las repercusiones que puede producir dicha información.
Se debe remarcar que, en general, los sectores a los que se pretende
llegar con la inclusión financiera son precisamente aquellos más vulnera-
bles, tanto en el plano social como en el económico. En tal sentido, debe
prestarse especial atención y cuidado a cómo se realizan estas prácticas para
evitar perpetuar un status quo que facilita la discriminación de grupos de
personas, convirtiendo ciertos derechos, como la privacidad y la protección
de los datos personales, en objetos de lujo accesibles por aquellos que gocen
un determinado nivel económico.
En el contexto argentino, los principales modelos de ingresos implemen-
tados por las fintech se centran en honorarios de licenciamiento, intereses
por financiamiento, honorarios y comisiones de transacción, honorarios por
soluciones de servicios, y comisiones por usos de plataformas de comercio
electrónico.13
En el país, la mayoría de los emprendimientos fintech aún dependen de
los canales tradicionales para la evaluación y puntuación crediticia (credit
scoring) de sus usuarios, principalmente la Central de Deudores del BCRA
y los informes que emiten compañías como Veraz (subsidiaria de Equifax) y
NOSIS. Según el estudio del ecosistema publicado por la cámara, “los fac-
tores más relevantes utilizados por las dintech encuestadas resultaron ser el

11 Entendida por todas las actividades que ha llevado a cabo la persona en su vínculo con
los servicios financieros.
12 Entendida como la suma de los diversos aspectos que hacen a la personalidad de
una persona y que son definidos por sus hábitos, gustos y preferencias mediados o
producidos tras el uso de la tecnología. También podemos sumar al concepto de
identidad digital el uso de tecnologías de identificación biométrica (como las huellas
dactilares y el reconocimiento facial) que terminan asignando a las personas una matriz
alfanumérica que dictamina las características de sus rasgos biológicos, fisiológicos o de
comportamiento.
13 “Informe ecosistema Fintech argentino”, op. cit., pág. 16.

284
historial de pagos, el [historial] crediticio a lo largo del tiempo y el total de la
deuda, así como también estudios basados en el comportamiento del usua-
rio”, y destaca también que algunas fintech utilizan en su mayoría informa-
ción pública. La justificación que dan las empresas es que esto “les permite
desarrollar una política de riesgo más flexible y conocer mejor al cliente”.14
Sin embargo, algunas fintech ya comenzaron a explorar el uso de mé-
todos alternativos para la evaluación de solvencia. Una de ellas es Findo,15
la cual desarrolla un nuevo modelo para medir la puntuación crediticia de
una persona basándose en información proveniente de diversas fuentes, en
especial su red de contactos, las aplicaciones instaladas, el historial de llama-
das, su geolocalización y las redes sociales que utiliza. Todos estos datos son
procesados por un algoritmo16 que evalúa sus interacciones con las personas
de su entorno social y profesional, junto con el resto de la información, para
producir un perfil que determina su probabilidad de incumplimiento con las
obligaciones de endeudamiento.17
Si bien el sector de los préstamos responde tan solo a uno de los numero-
sos servicios brindados por las empresas fintech, el riesgo de la construcción
de sistemas basados en la explotación de datos personales persiste para casi
todo el sector.
No cabe duda de la posibilidad de utilizar los datos que los mismos usua-
rios generan, mediante el uso de los servicios e incluso de las aplicaciones en
sus dispositivos móviles, para conformar un perfil único de dicha persona que
luego puede ser aprovechado por la misma empresa para sus propios fines o es
comercializado a terceros (como hacen los denominados data brokers).
En el mundo, una de las principales empresas multinacionales que han
trabajado para perfeccionar y promover el uso de métodos alternativos para
la evaluación crediticia es Lenddo. A comienzos de 2011, desde sus oficinas
centrales en Singapur, Lenddo inició sus actividades ofreciendo préstamos
en Filipinas. En 2015, la empresa comenzó a brindar servicios de evaluación

14 “Informe ecosistema Fintech argentino”, op. cit., pág. 39.

15 Ver: http://findo.com.ar/.
16 Un algoritmo es un conjunto de instrucciones que permiten arribar a la solución de un
problema. Para una descripción técnica, consultar: https://bit.ly/2WMkGSe.
17 Presentación “Aplicación de la ciencia de datos en nuevos modelos de confianza para
la industria financiera”, Maestría en Explotación de Datos y Descubrimiento del
Conocimiento, UBA, 31 de octubre de 2018.

285
crediticia y de verificación de identidad a otras instituciones financieras, y
dejó de ofrecer préstamos por sí misma.18
El modelo de Lenddo se centra en el uso de diversas fuentes de infor-
mación no tradicional. Es decir, datos que los servicios que proveen credit
scoring históricamente no habían utilizado. Entre la información tradicional
que usan los burós de crédito para realizar las puntuaciones encontramos,
por ejemplo, si la persona paga sus tarjetas de crédito de manera regular y si
paga el mínimo o el total, los tipos de crédito obtenidos y la antigüedad de
su historial crediticio.
Para obtener el acceso a la información no tradicional, Lenddo brinda
una interfaz de programación de aplicaciones (API, por sus siglas en inglés),
para que los desarrolladores puedan incorporar los servicios brindados por
la firma en su propia aplicación. Entre la información que pueden recolec-
tar de los dispositivos y procesar mediante la API se encuentran: la lista de
contactos, mensajes de texto, historial de llamadas, geolocalización, historial
de navegación, aplicaciones instaladas en el dispositivo, eventos en el calen-
dario, modelo y marca del dispositivo.19
A la información que se puede recolectar de los dispositivos se le suman
diversos datos de terceros. Las publicaciones de cuentas en redes sociales
como Twitter, Facebook y LinkedIn, el historial de búsqueda en Google o
Yahoo, compras en plataformas de comercio electrónico, e incluso analíticas
sobre el rellenado de formularios.20
Todos los datos, tanto de fuentes tradicionales como no tradicionales,
son luego procesados por el algoritmo de Lenddo, lo que da como resultado
una evaluación crediticia sobre la cual decidir respecto a la posibilidad de
brindarle el servicio al solicitante, anticipando la probabilidad de que entre
en default y no pueda cumplir con sus obligaciones.
Desde 2012, Lenddo ha empezado a expandirse en América Latina, a
partir de la instalación de sus oficinas regionales en Colombia. En la actuali-
dad, la empresa también trabaja de modo activo en México, Perú y Brasil.21

18 Privacy International, “Fintech’s dirty little secret? Lenddo, Facebook and the challenge of
identity”, 23 de octubre de 2018 [https://bit.ly/2Xb7Hct].
19 Ver: https://bit.ly/31wHX9C.
20 Ver: https://bit.ly/2IKBrUg.
21 Ver: https://www.lenddo.com/about.html. “Colombia, sede regional de Lenddo, el
prestamista que mira la reputación virtual”, El País, 25 de septiembre de 2013, disponible

286
 Como se mencionó previamente, el análisis de los diversos datos no
tradicionales, en particular los adquiridos desde dispositivos móviles y las
publicaciones en redes sociales, presenta nuevos desafíos y potenciales inter-
ferencias con el ejercicio y goce del derecho a la privacidad.
Las acciones de las personas usuarias en el mundo digital acarrean con-
secuencias de las cuales no se pueden percatar en el momento y que termi-
nan perdurando en el tiempo, lo cual afecta otros aspectos de sus vidas.
Al momento de analizar el impacto en la privacidad que implica el uso
de la información publicada en redes sociales, no solo se debe considerar
lo que digan aquellos tuits o posteos, sino también los metadatos, que en
ocasiones pueden ser más reveladores que aquello que se diga de manera
expresa.22
La hora a la que se publica puede brindar alguna pista como una condi-
ción de salud, por ejemplo, si sufre de insomnio y, en tal caso, si será causado
por estrés. La geolocalización puede ser aún más relevante al analizar el
ingreso promedio en el barrio donde usualmente se encuentra y los sitios que
frecuenta.23 Sobre la base del lenguaje utilizado por el usuario para publicar
y para la interfaz del servicio, también se pueden hacer conjeturas sobre su
nivel educativo.
No obstante, las acciones individuales de las personas no son las únicas
que pueden influir en la evaluación crediticia. La red de contactos, com-
puesta por los diversos círculos sociales, profesionales y afectivos construida
a lo largo de nuestra vida, también puede ser utilizada para determinar si las
personas en dichos círculos tienen “buenos hábitos” que alimenten su valor
crediticio. Esto implica que el comportamiento de amigos, colegas, parientes
y parejas respecto de sus propias obligaciones financieras termine por afec-
tar el acceso a créditos, préstamos, etcétera.
Construir plataformas que brinden servicios financieros con base en
esta lógica influye en la transformación del desarrollo social y las interac-
ciones entre las personas, provocando que los vínculos y las relaciones sean
construidas básicamente según el estatus socioeconómico que tengan dichas

en: https://bit.ly/2IidVio.
22 “You will be surprised by what your Tweets may reveal about you and your habits”
[https://bit.ly/2WJX019].
23 Ver: https://bit.ly/2B0tS8R.

287
personas. Como afirma la ONG inglesa Privacy International (PI): el credit
scoring no solo mide, sino que altera el comportamiento.24
Esta situación fue considerada por Global Partnership for Financial In-
clusion (GPFI), en el marco del G20 bajo la presidencia de Argentina, en
una guía elaborada por la Organización para la Cooperación y el Desarrollo
Económico (OCDE) sobre digitalización y educación financiera.25 La guía
establece que el uso exponencial de algoritmos forma parte de los riesgos
que introducen los servicios financieros digitales, debido a la potencial in-
fluencia en la decisión sobre el acceso a créditos o seguros. Dicha influencia
algorítmica permite denegar el acceso a servicios o la imposición de cargos
injustos, con base en correlaciones incorrectas efectuadas sin interpretación
humana. El informe fue luego considerado como referencia en el documen-
to publicado por los países del G20 en la Reunión de Ministros de Finanzas
y Presidentes de Bancos Centrales.26
¿Plantea entonces el sector fintech un futuro en el cual se utilizará cada
vez más información para juzgar a las personas usuarias? Si partimos de la
premisa de que las fintech necesitan obtener y procesar un gran volumen de
datos personales para funcionar, de forma inevitable ese futuro se irá convir-
tiendo en realidad más pronto que tarde.
Esta preocupación se enmarca, a su vez, en el contexto de la persecución
del uso de dinero en efectivo, justificado bajo las narrativas de las luchas con-
tra el narcotráfico y el lavado de dinero. Estas acciones, si bien son legítimas,
presentan como contracara un escenario en donde cada vez será más difícil
utilizar vías alternativas que no dependan de la entrega de más datos perso-
nales, para evitar caer fuera del sistema económico digital.
Además de la dependencia en los datos personales como la base de un
nuevo modelo de desarrollo económico, el otro aspecto narrativo que lo
acompaña es la construcción de la “identidad digital”.
En 2015, la Organización de Naciones Unidas (ONU) llegó a un con-
senso para implementar una agenda con el objetivo de alcanzar un desa-

24 Privacy International, “Through An App, Darkly: How Companies Construct Our

Financial Identity”, 30 de enero de 2018 [https://bit.ly/2wVfmwH].
25 Organización para la Cooperación y el Desarrollo Económico (OCDE), G20/OECD
INFE Policy Guidance on Digitalisation and Financial Literacy (2018).
26 Comunicado oficial de la Reunión de Ministros de Finanzas y Presidentes de Bancos
Centrales del G20, julio de 2018 [https://bit.ly/2WLIcu5].

288
rrollo sustentable del planeta, basándose en los 17 Objetivos de Desarrollo
Sostenible (OSD) sobre temáticas centrales como el agua, la energía, el cli-
ma, los océanos, la urbanización, el transporte, la ciencia y la tecnología.27
Para apoyar el progreso de estos principios, el Banco Mundial comenzó un
programa propio, partiendo de la premisa que para alcanzar el acceso a
servicios y el ejercicio de derechos fundamentales, la facilidad que tiene una
persona para demostrar su identidad se torna imprescindible.
La iniciativa del Banco Mundial, denominada Identificación para el De-
sarrollo (o ID4D, por sus siglas en inglés), promueve la adopción de solucio-
nes tecnológicas que permitan garantizar la identidad de las personas para
el acceso a servicios esenciales.28 Esta institución define a la identidad digital
como “una serie de atributos y/o credenciales capturados y almacenados
que identifican en forma única a una persona”.29
A través del programa ID4D, el Banco Mundial busca influir en los paí-
ses —en especial aquellos con economías emergentes— con el propósito de
adoptar políticas de identificación a escala nacional, permitiéndolesq a los
Estados verificar que todos los habitantes de sus territorios “sean quienes di-
cen ser”.30 Una de las principales tecnologías en las que se basan los sistemas
de identidad digital es la biometría, en particular aquellas que utilizan las
huellas dactilares y el reconocimiento facial.
Aunque el Banco Mundial incorporó el trabajo en la privacidad por
diseño, como una característica necesaria para el desarrollo de sistemas
de identidad, el impacto de estos excede esta disciplina de trabajo, ya que
debe considerarse todo el espectro de derechos civiles, sociales y políticos
involucrados.
Asimismo, aunque uno de los principios31 que sostiene la iniciativa
ID4D es la universalidad, esta no puede ser el punto de partida para el
análisis de los sistemas de identificación. Según establece Privacy Inter-
national, las políticas que introducen algún tipo de solución para la iden-
tificación de personas deben “reconocer que dicho sistema va a incluir y

27 Ver: https://sustainabledevelopment.un.org/.
28 Ver: http://id4d.worldbank.org/about-us.
29 El trabajo del Banco Mundial en identidad digital puede consultarse en: “G20 Digital
Identity Onboarding” (2018).
30 Ibíd.
31 Ver: https://bit.ly/2WLIcu5.

289
excluir; quién es incluido y excluido, es una pregunta tanto técnica como
política y socioeconómica”32.
En los procesos de onboarding,33 para agilizar y facilitar el proceso, gran
parte de las fintech adoptaron la tecnología biométrica de reconocimiento
facial como la solución para la verificación inequívoca de la identidad de la
persona solicitante del servicio.
Hacia mediados de 2018, el Ministerio del Interior y la Secretaría de
Modernización (en su momento, con categoría de ministerio) anunciaron la
implementación de un proyecto conjunto denominado Sistema de Identidad
Digital (SID), con el fin de simplificar y agilizar los trámites que realizan las
personas con el Estado, permitiendo validar la identidad mediante el uso de
reconocimiento facial.
El SID se ubica dentro del marco de acción de la actual administración
nacional, que busca promover la digitalización y actualización tecnológica
del Estado, colocando a las entidades públicas al servicio del ciudadano. En
este contexto, en diciembre de 2017, Interior y Modernización firmaron el
acuerdo de cooperación que luego daría vida al SID.
Para alcanzar su propósito, el SID utiliza la base de datos del Registro
Nacional de las Personas (Renaper) que contiene las fotografías de rostros,
las huellas dactilares y los datos patronímicos de todas las personas ciudada-
nas y residentes del país. Mediante el uso de tecnología de reconocimiento
facial, el SID verifica la identidad de las personas contrastándola con los
registros que posee el Renaper.
El software de reconocimiento facial que implementa el SID, bajo el
nombre comercial NeoFace Watch, es desarrollado por la empresa NEC Ar-
gentina SA, filial de la multinacional de origen japonés con base en Tokio.34
De todas las modalidades posibles para la adquisición de esta solución, se
canalizó mediante una contratación directa autorizada por la Secretaría de
Gobierno Digital e Innovación Tecnológica de la Secretaría de Moderniza-

32 Privacy International, “The World Bank’s ID4D ‘Mission Billion Challenge’: How a limited
conception of ‘privacy’ threatens our rights”, 9 de diciembre de 2018 [https://bit.
ly/2KOQsHa].
33 En el contexto del sector fintech, onboarding es el proceso mediante el cual la persona se
registra para solicitar la contratación del servicio, en general, esto se realiza a través de una
aplicación móvil donde se familiariza a la persona que se convertirá en usuaria de la empresa.
34 Folleto publicitario de la solución NeoFace Watch.

290
ción, por la suma de 834.403,90 dólares.35 Esta negociación fue realizada a
través de un préstamo del Banco Internacional de Reconstrucción y Fomen-
to (BIRF), que es una de las cinco instituciones que integran el Grupo del
Banco Mundial.
De acuerdo CON la respuesta obtenida por la ADC a la solicitud de ac-
ceso a la información pública presentada ante la Secretaría de Modernización
y el Ministerio del Interior,36 el motivo de la elección de la solución de NEC
se debe a “lograr la completa compatibilidad con el sistema utilizado por el
Renaper”, dado que el Ministerio del Interior utiliza la tecnología desde 2006.
Asimismo, Modernización abrió una licitación pública para el desarrollo
de la infraestructura del SID, que se compone por el software de procesa-
miento para la verificación biométrica y el portal de servicios para los orga-
nismos de la Administración Pública. Este último incluye el kit de desarrollo
de software (SDK), las apps móviles para iOS y Android, y la API.
La empresa elegida para encarar dicho desarrollo fue VU Security SA,37
una de las fundadoras de la Cámara Argentina de Fintech y una de las lí-
deres en el desarrollo de tecnología de seguridad y biometría con presencia
regional. La contratación con Modernización fue por un plazo de cuatro
meses, por un total de casi 5 millones de pesos para todo el desarrollo y so-
porte del sistema.38
En 2017, la Secretaría de Modernización se contactó con el BCRA para
evaluar las necesidades del sistema financiero en la validación de la identidad
de las personas, siendo luego invitado a la Mesa de Innovación promovida por
el Banco. De estas conversaciones luego surgió el convenio entre el BCRA y el
Renaper, con el fin de implementar un “sistema de verificación, validación de
identidad, constancia de supervivencia y biometría de huellas y rostro” para
que nuevos clientes puedan abrir cajas de ahorro de manera no presencial y la
provisión de otros servicios financieros o de pagos móviles.39

35 Según consta en la respuesta brindada por la Secretaría de Modernización a la solicitud

de acceso a la información pública presentada por la ADC en julio de 2018. Una copia
del acta de negociación puede encontrarse en: https://bit.ly/2L07PVN.
36 Solicitudes de acceso a la información pública presentadas ante la Secretaría de
Modernización y el Ministerio del Interior el 24 de julio de 2018.
37 Ver: https://www.vusecurity.com/.
38 Proceso 450-0023-LPU17.
39 Una copia del Convenio Marco de Cooperación entre el Renaper y el BCRA puede ser

291
 Una vez finalizado el desarrollo del SID, se habilitó un proceso de instancia
de prueba en el marco de la Mesa de Innovación. En esa etapa, las empresas
solicitaban participación al Renaper para acceder, mediante claves específicas y
únicas a cada solicitante, al ambiente no productivo40 de la plataforma.

3. Conclusiones
El escenario argentino del mundo fintech muestra un campo aún inci-
piente, que va dando pasos calculados pero precisos, midiendo la respuesta
sobre las iniciativas que se presentan y los factores coyunturales de la reali-
dad económica de país. En tal sentido, vemos oportuno y necesario incorpo-
rar las inquietudes e interrogantes planteadas a lo largo de este informe, en
los espacios de discusión y toma de decisión de la industria.
Proteger el derecho a la privacidad debe ser un factor central en el de-
sarrollo de iniciativas fintech. En LA Argentina aún hay espacio de mejora
en la promoción del ejercicio y la protección del goce de este derecho, Sobre
todo contemplando que, en esta industria, cuando se habla de privacidad,
se lo hace vinculándola casi exclusivamente a la seguridad de la informa-
ción, poniendo el foco desde el punto de vista de la protección de los datos
personales. De esta forma se pierde de vista las narrativas más amplias que
vislumbran la construcción de una sociedad donde existe un perfilamiento
exhaustivo de todas las personas.
Hoy, la mayoría de las fintech en el país no se rigen bajo modelos de
negocios y prácticas que interfieran —en forma directa— con el goce de la
privacidad. Sin embargo, el avance de las narrativas en torno a una mayor
recolección, almacenamiento y procesamiento de datos personales, en espe-
cial acompañado por el uso de tecnologías biométricas, debería ser materia
de debate entre todos los actores involucrados, incluyendo a las personas
usuarias de las plataformas y servicios.
Cuando se plantea el uso de algoritmos o cualquier tipo de procesos
automatizados para la toma de decisiones sobre el perfil de las personas
—por ejemplo, para la habilitación de cuentas bancarias o préstamos—, es
esencial promover la transparencia sobre los parámetros que justifican las

consultado en: https://bit.ly/2Ii7gof.

40 El ambiente no productivo hace referencia a un espacio de uso del software para pruebas
que no es accesible para el público.

292
conclusiones a las que se arriba. La auditoría de estos mecanismos o proce-
sos, deben permitir conocer la información que fue tomada en cuenta para
entender el resultado y, eventualmente, impugnarlos, por canales que sean
claros y sencillos para los usuarios.
Dado que una de las principales motivaciones de las fintech es profun-
dizar la inclusión financiera —enfocada en particular a grupos de personas
con un bajo poder adquisitivo y/o en una situación de precarización e in-
formalidad laboral— existe el riesgo de que sean estos mismos grupos los
que se verán sin alternativas más que de la entrega de cada vez más datos
personales para acceder a servicios esenciales.
Desde un punto de vista regulatorio, debe contemplarse que el sector
fintech no representa un solo modelo de negocio ni una única solución tec-
nológica. Cualquier intento para iniciar una conversación sobre las necesi-
dades de regulación debe ponderar esta diversidad, priorizando la garantía
a derechos fundamentales como la privacidad y la no discriminación, sin
dejar de lado la situación de los grupos más vulnerables descrita antes.
Plantear estas inquietudes nos permite empezar a debatir cómo quere-
mos construir el futuro de nuestra sociedad y economía, evitando que los
posibles escenarios distópicos se hagan realidad a través de la naturalización
de prácticas que, por sí mismas, parecen inocuas.

293
Delitos informáticos sobre criptomonedas
por Andrés Chomczyk y Pablo A. Palazzi

1. Introducción
El surgimiento y la difusión de las criptomonedas han generado nuevas
situaciones relacionadas con delitos informáticos. El alto valor económico
de estos activos los hace atractivos para todo tipo de delitos patrimoniales.
Dada su naturaleza digital, las “apropiaciones” de criptomonedas revisten la
forma de ataques contra los sistemas informáticos de sus tenedores, ya sean
empresas o individuos, para lograr tomar el control del sistema y transferir
estos bienes digitales a cuentas propias.
En esta nota buscamos dar un marco teórico a los delitos relacionados
con criptomonedas y para ello analizamos los casos más difundidos en el
ámbito internacional y un caso argentino reciente.

2. Delitos sobre criptomonedas

2.1. Nociones básicas sobre criptomonedas

A modo de introducción, creemos conveniente analizar brevemente qué
son las criptomonedas desde el punto de vista conceptual y legal. En este
sentido, y como hemos señalado en otras oportunidades, las criptomonedas
son monedas virtuales de emisión descentralizada sin respaldo de ningún
gobierno o entidad en particular, basadas en la tecnología blockchain1.
La determinación de la naturaleza jurídica de las criptomonedas es de
crucial importancia, puesto que ello permite identificar qué figuras penales
podrían involucrar criptomonedas y cuáles no.
Las criptomonedas pueden ser consideradas como un subtipo de token,
unidad asociada a una blockchain y que es generada conforme las reglas de
funcionamiento que están programadas en el software de aquella blockchain.

1 Para mayor detalle sobre la naturaleza jurídica de las criptomonedas, recomendamos la

lectura de los siguientes artículos: (i) chomcZyk, Andrés, “Reflexiones sobre el incipiente
marco legal de la industria fintech en Argentina”, RDYNT – Revista Derechos y Nuevas
Tecnologías, N.º 1, CDYT, 2017, pp. 51-76; y (ii) mora, Santiago J., “Monedas virtuales.
Una primera aproximación al bitcoin”, LL, 2016-A-717.

295
De modo simplificado, podemos definir a una blockchain como una base de
datos mantenida a través de una red pública de servidores distribuidos a lo
largo del mundo que no confían entre sí para mantener un registro ordenado
de movimientos de unidades pero que sí confían en las reglas fijadas por el sof-
tware que usan para mantener funcionando esta red. Estas unidades que son
registradas por una blockchain se conocen con el nombre de tokens.
Para motivar que las personas participen en el mantenimiento de la red
pública, el mismo software tiene previsto la asignación de “recompensas” a
esas entidades mediante la entrega de nuevas unidades, conforme las reglas
de emisión fijadas en el software, así como mediante la entrega de las comi-
siones que los usuarios de la red pagan para que los movimientos de esas
unidades sean registradas en la red.
Si bien no existe una clasificación única sobre qué tipos de tokens exis-
ten, se suele clasificar a estos en tres grandes categorías: (i) tokens de pago, o
criptomonedas, que se comportan como medios de pago e intentan imitar el
funcionamiento del dinero, como puede ser el Bitcoin; (ii) tokens de utilidad,
los cuales son empleados para los servicios asociados a las funcionalidades de
una determinada blockchain, como puede ser Ether; y (iii) los tokens de va-
lores negociables, los cuales buscan replicar el funcionamiento de los valores
negociables en el mundo de las blockchains, como pueden ser las unidades
que se reparten en una Initial Coin Offering (ICO) para recolectar fondos y
representan una participación en determinado proyecto.

2.2. Naturaleza jurídica de las criptomonedas

Dentro del análisis que estamos realizando, vamos a centrarnos exclusi-
vamente en las criptomonedas o tokens de pago, sin perjuicio de que estas
se comportan, o lo intentan al menos, como monedas. Ahora bien, tienen la
particularidad de no ser consideradas como monedas en el sentido jurídico
puesto que no son subsumibles dentro del concepto de moneda nacional
previsto en el artículo 30 de la Carta Orgánica del Banco Central de la Re-
pública Argentina2 (BCRA) así como tampoco, a la fecha de este artículo,

2 Art. 30: El Banco es el encargado exclusivo de la emisión de billetes y monedas de la Nación

Argentina y ningún otro órgano del gobierno nacional, ni los gobiernos provinciales, ni
las municipalidades, bancos u otras autoridades cualesquiera, podrán emitir billetes ni
monedas metálicas ni otros instrumentos que fuesen susceptibles de circular como moneda.

296
han sido clasificadas como moneda nacional de ningún otro país soberano.
La consecuencia directa de ello hace que estas monedas escapen de las nor-
mativas del BCRA relacionadas con el mercado único y libre de cambios y
la necesidad de cursar las operaciones de compraventa derivadas por este.
En consecuencia, debemos encontrar otra categoría jurídica que sea cohe-
rente con las características de las criptomonedas. Los tokens en las blockchains
son creados y repartidos según los lineamientos fijados en el software que gobier-
na y hace funcionar tecnológicamente a estas criptomonedas. En este sentido,
todos aquellos que quieran ser titulares de criptomonedas deben aceptar estos
términos de gobernanza y unirse a la blockchain que se rige por esos términos, o
bien crear su propia blockchain con sus propias reglas. En cualquiera de los dos
casos, las personas que forman parte de la red aceptan que todo lo que suceda
en esa blockchain se rija por el código informático, actuando como una suerte
de “contrato” que vincula a quienes participan en la red. Por lo tanto, ser titular
de criptomonedas implica ser titular de los derechos que la red reconoce a cada
persona que posee tokens de esta y que le permiten interactuar en aquella.
El artículo 15 del Código Civil y Comercial de la Nación (CCyCN)
dispone que “las personas son titulares de los derechos individuales sobre
los bienes que integran su patrimonio conforme con lo que se establece
en este Código”. Resulta imposible negar que las criptomonedas tienen
un valor patrimonial para aquellos que las poseen y, por lo tanto, forman
parte del patrimonio de una persona. Ahora bien, al tener que darles una
categoría dentro de ese patrimonio, y teniendo en cuenta el artículo 16 del
CCyCN, que dispone que “los derechos referidos en el primer párrafo del
artículo 15 pueden recaer sobre bienes susceptibles de valor económico.
Los bienes materiales se llaman cosas”, podemos concluir que las cripto-
monedas pueden ser clasificadas como bienes inmateriales. En concreto,
las criptomonedas califican también como una suerte de derechos credi-
ticios que tiene el titular de los tokens y que pueden ser ejercidos contra
toda la red que opera la blockchain para que se permita el ejercicio de los

Se entenderá que son susceptibles de circular como moneda, cualesquiera fueran las
condiciones y características de los instrumentos, cuando: (i) El emisor imponga o induzca
en forma directa o indirecta, su aceptación forzosa para la cancelación de cualquier tipo
de obligación; o (ii) Se emitan por valores nominales inferiores o iguales a 10 veces el valor
del billete de moneda nacional de máxima nominación que se encuentre en circulación.

297
derechos asociados al token en cuestión, los cuales, en líneas generales,
suelen conceder la posibilidad de ceder o transferir esa cantidad de tokens
a un tercero diferente.
Esta concepción de las criptomonedas es aplicable únicamente cuando
es el usuario quien posee las llaves privadas para disponer de las mismas. En
el caso de que el usuario haya asignado los tokens al control de otras llaves
privadas, como podría ser el caso en el que el usuario haya entregado sus
criptomonedas a una plataforma que haga custodia de estas (una bóveda de
criptomonedas, un exchange o un proveedor de soluciones de billetera digi-
tal, entre otros), allí el usuario deja de tener una relación directa con la red y
pasa a tener dicha conexión con la blockchain por intermedio de un tercero
que hace actos en su nombre. En este caso, el usuario únicamente tiene un
derecho crediticio frente a la plataforma y, tal como ha sucedido en los casos
comentados previamente, puede ocurrir que la plataforma pierda el control
de las criptomonedas y sea imposible que esta cumpla con su obligación de
entregar las criptomonedas al usuario cuando este las demande, incurriendo
así en un incumplimiento contractual con el usuario pasible de ser reclama-
do judicialmente e indemnizado de forma integral.
Ahora bien, esta visión general desde el Derecho privado puede verse afec-
tada por interpretaciones especiales que pueden hacer otras ramas del Derecho
para determinadas finalidades que pueden ser perseguidas; por ejemplo, en ma-
teria de prevención de lavado de activos y financiamiento del terrorismo, podría
interpretarse que las criptomonedas son moneda como cualquier otra moneda
nacional y sometidas al régimen general previsto para el análisis y revisión de los
clientes y operaciones que involucren a estas. Es decir, cada sector del Derecho
podrá tener una diferente visión de lo que es una criptomoneda, como podría
ser el Bitcoin, en función de los intereses que se pretendan regular.
Para concluir, una criptomoneda es un bien (artículos 15 y 16 del
CCyCN), de carácter patrimonial con soporte inmaterial, creado mediante
un sistema informático, de emisión privada y que suele utilizarse como me-
dio de pago o de intercambio.

3. Delitos y criptomonedas
Ya vimos que las criptomonedas, desde el punto de vista del Derecho pri-
vado, pueden ser calificadas como bienes y forman parte del patrimonio de

298
una persona. Por lo tanto, dada su naturaleza, son factibles de estar involucra-
das en los delitos clásicos contra propiedad previstos en el Código Penal (CP).
La primera clasificación que debemos estudiar requiere diferenciar a las
criptomonedas como objeto del delito o como medio comisivo de otro delito.
Una segunda clasificación que debemos tener en cuenta también es
quién es la víctima del delito: en este sentido, podemos identificar a las po-
sibles víctimas desde los tenedores individuales de criptomonedas, los inter-
mediarios que ofrecen algún tipo de servicio relacionado con las criptomo-
nedas que implique custodia de estas e, incluso, al mismo sistema blockchain
conformado como los diferentes participantes que ponen su poder compu-
tacional al servicio de la red.

3.1. Criptomonedas como objeto de un delito

Cuando hacemos referencia a las criptomonedas como objeto de delito, nos refe-
rimos básicamente a los delitos contra la propiedad. Así una persona podría
acceder en forma no autorizada a la billetera virtual de la víctima e incurrir en
el delito de acceso no autorizado (artículo 153 bis CP), que es un delito contra
la propiedad o contra el espacio virtual titularidad de esa persona3. También
podría intentar apoderarse de todo o parte de las criptomonedas allí guarda-
das mediante la transferencia de estas a una dirección bajo su control o de un
tercero. También podría ingresar a la billetera y cambiar la clave, si es que el
acceso estuviera protegido con contraseña, a los fines de excluir al verdadero
titular, lo cual sería otra forma de apropiación ilícita de esos bienes.
En cambio, si son apropiados, transferidos o retenidos legalmente pero
no devueltos a su titular en tiempo y forma legal, se deberá aplicar la norma
del Código Penal correspondiente (ejemplo, artículos 162, 172 o 173 CP) y
podrán ser considerados como cosas a los fines del hurto o derechos por la
estafa y otras defraudaciones.
Las estafas sobre bitcoins y otras criptomonedas son muy comunes. A
modo de ejemplo, es posible mencionar un fallo de la justicia española dictado
por el Tribunal Supremo español4 (TSE). La Sala de lo Penal del Alto Tribunal

3 Sobre la privacidad como un espacio virtual o digital ver PalaZZi, Pablo, Delitos contra la
intimidad informática, p. 67 y ss., CDYT, 2019.
4 ST español, sentencia N.º 326/2019, 20 de junio de 2019, ponente magistrado Pablo
Llarena.

299
entendió en los recursos de casación contra una sentencia de la Audiencia Pro-
vincial de Madrid,5 que considera al acusado como autor de un delito conti-
nuado de estafa y le impone una pena de dos años de prisión y la obligación de
indemnizar a los damnificados. En este caso, el acusado había suscrito diversos
contratos para la realización de operaciones de trading de alta frecuencia con
los bitcoins que cada uno de los denunciantes le entregaron. El TSE analizó
este contrato y concluyó que “la negociación de alta frecuencia, también co-
nocida en el ámbito financiero por su nombre en inglés high-frequency tra-
ding (HFT, por sus siglas en inglés), es un tipo de negociación que se lleva a
cabo en los mercados financieros utilizando herramientas tecnológicas para
obtener información del mercado, ejecutando, mediante algoritmos informá-
ticos, múltiples y numerosas órdenes de compra-venta en fracciones cortas de
tiempo”. Bajo la premisa de que habrían obtenido unas supuestas ganancias,
los inversores solicitaron la devolución de las criptomonedas más el retorno de
su inversión, pero esto nunca ocurrió y motivó el inicio de acciones penales.
En cuanto a la naturaleza jurídica de las criptomonedas, el citado tri-
bunal interpretó que los bitcoins son “un activo patrimonial inmaterial, en
forma de unidad de cuenta” que se puede usar “como un activo de con-
traprestación o de intercambio en cualquier transacción”, pero “en modo
alguno es dinero, o puede tener tal consideración legal”.
Es en estos términos que el TSE define a las criptomonedas en esta reciente
sentencia, dando lugar a la primera condena firme por estafa con bitcoins en
España. Sin embargo, dada esta naturaleza jurídica, el TSE resuelve que “no
puede acordar la restitución” de las criptomonedas y, por lo tanto, fija la devo-
lución en euros del valor de los bitcoins al momento de su entrega al estafador6.
Es en este último punto donde la sentencia del TSE adquiere una nota-
ble importancia ya que la definición de la naturaleza de las criptomonedas
ha implicado, para el estafador, un beneficio. Al condenar al acusado no a
pagar con bitcoins sino a pagar el valor que tenían cuando se produjo el de-
lito de estafa, las víctimas sufren un doble perjuicio: por un lado, el perjuicio
económico del delito de estafa en sí mismo; y por otro lado, las víctimas no
pueden salir al mercado a comprar la misma cantidad de bitcoins que tenían

5 AP Madrid, sentencia N.º 185/2018.

6 Cfr. romero, P., “El Tribunal Supremo confirma la primera condena por estafa con bitcoins
de España”, Público, Suplemento Tribunales, 2 de julio de 2019 [http://bit.ly/2YbTTjb].

300
antes de la comisión del delito por la variación del precio. Como es sabido,
el bitcoin tiene una alta fluctuación de precio, por lo que al estafador puede
llegar a salirle rentable la estafa, tal como sucedió en este caso. En la senten-
cia se estima que “los acusados no fueron despojados de bitcoins que deban
serles retornados, sino que el acto de disposición patrimonial que debe resar-
cirse se materializó sobre el dinero en euros que, por el engaño inherente a la
estafa, entregaron al acusado para invertir en activos de este tipo”.
Es decir, el TSE niega que el denominado bitcoin sea algo susceptible de
retorno “puesto que no se trata de un objeto material” y “no tiene la consi-
deración legal de dinero”. Es decir, aquí lo que entregaron las víctimas fue
una suma de dinero en forma de criptomonedas y, por lo tanto, lo que co-
rresponde restituir es esa suma de dinero. “Por más que la prueba justificara
que el contrato de inversión se hubiera hecho entregando los recurrentes
bitcoins y no los euros que transfirieron al acusado, el Tribunal de instancia
no puede acordar la restitución de los bitcoins.” Este fallo del TSE, lamenta-
blemente, no contribuye a reconocer el carácter de dinero que presentan las
criptomonedas y que el Tribunal de Justicia de la Unión Europea ya les ha
dado a ellas en una sentencia del año 20157.

3.2. Criptomonedas como medio comisivo de un delito

Cuando hacemos referencia a las criptomonedas como instrumento o me-
dio comisivo de un delito, aparecen infinidad de variantes. Dado que las criptomo-
nedas funcionan como medio de pago, pueden aparecer implicadas en dife-
rentes delitos en los cuales se involucren valores más clásicos, como lo son las
monedas fiduciarias. Existe una idea en el imaginario popular acerca de que
las criptomonedas, al ser seudónimas, hacen imposible determinar su origen o
rastrear el camino que hicieron para llegar hasta la persona que las detenta en
un momento determinado; la realidad nos demuestra todo lo contrario. Las
criptomonedas de blockchains públicas son perfectamente trazables al estar
expuestas o visibles al público en general en todas las transacciones realiza-
das8. Si bien es cierto que la red opera de forma seudónima puesto que no hay

7 Tribunal de Justicia de la Unión Europea, Asunto C-264/14, Skatteverket contra David

Hedqvist, Conclusiones de la Abogado General y Sentencia del TJUE.
8 Sobre el tema ver Furneaux, Nick, Investigating Cryptocurrencies: Understanding, Extracting,
and Analyzing Blockchain Evidence, Wiley, 2018.

301
registro en la blockchain sobre la identidad detrás de cada dirección pública,
es posible combinar esa información con otros datos para asociar direcciones
a personas y así reconstruir una cadena de tenencias de criptomonedas. A
modo de ejemplo, en el caso de la estafa a Mt. Gox —que reseñaremos más
adelante—, una investigación privada logró encontrar después de años dónde
fueron las criptomonedas robadas en aquel ataque al exchange japonés9. Es
decir, es viable la realización de una investigación de informática forense para
identificar el origen o destino de una criptomoneda.
Los casos más frecuentes donde las criptomonedas están involucradas en
la comisión de delitos son los casos de ransomware. Estas son situaciones de
ataques informáticos donde se encriptan todos o parte de los archivos de un
ordenador o sistema informático de la entidad atacada, ya sea una persona
física o una empresa, y el atacante solo desencriptará los archivos a cambio
de un pago, generalmente en criptomonedas. Estas situaciones pueden en-
cuadrar en la figura de daño informático (artículo 183, segundo párrafo del
CP) que dispone: “En la misma pena incurrirá el que alterare, destruyere
o inutilizare datos, documentos, programas o sistemas informáticos; o ven-
diere, distribuyere, hiciere circular o introdujere en un sistema informático,
cualquier programa destinado a causar daños”. También resulta aplicable
el delito de extorsión previsto en el artículo 168 del CP, que dispone: “Será
reprimido con reclusión o prisión de cinco a diez años, el que con intimida-
ción o simulando autoridad pública o falsa orden de la misma, obligue a otro
a entregar, enviar, depositar o poner a su disposición o a la de un tercero,
cosas, dinero o documentos que produzcan efectos jurídicos”.
Cabe señalar que existen ciertas modalidades de ransomware en las que los
archivos no son encriptados sino que simplemente se cambian los permisos de
acceso y vista a los archivos, o en los que se configura el software para retrans-
mitir la información del sistema informático a menos que el pago tenga lugar.
Algunos ejemplos de estos ataques fueron el WannaCry y el CryptoLocker,
los cuales llegaron a causar estragos en compañías como Telefónica10. Estos

9 WiZsec, “Breaking open the Mt. Gox case, part 1”, 27 de julio de 2017 [http://bit.
ly/314JW46].
10 natour, Lydia, “WannaCry: el ransomware que tiene «secuestrados» los sistemas de
Telefónica y de otras empresas”, Diario ABC, 25 de septiembre de 2017 [http://bit.
ly/2yr1gDT].

302
casos son bastantes sencillos de resolver puesto que la única dificultad radica
en, tal como señalamos anteriormente, el seguimiento informático-forense de
las criptomonedas involucradas, y aquí particularmente el rastreo de los fondos
entregados por la víctima al victimario a fin de lograr dar con este11.
En línea con este tipo de ataques informáticos, otra posibilidad que cabe,
y sobre la cual ha habido numerosos casos —incluso en Argentina12—, es la
introducción de malware en otros dispositivos, ya sean ordenadores, tabletas,
teléfonos, para hacer que ese dispositivo participe en un esquema de minería
sin saberlo; las criptomonedas generadas a partir de la introducción de ese
malware van al hacker que infectó el dispositivo, incurriendo en una suerte
de “hurto de uso” del tiempo de procesamiento de los sistemas infectados.

. . a ado de acti o y cri tomoneda

Las criptomonedas también han sido empleadas como medio para
la comisión de delitos en materia de prevención de lavado de activos y
financiamiento del terrorismo13. Ahora bien, en modo alguno aquí se
generan nuevos delitos ni resulta necesario legislar específicamente sobre
la materia.
Esta cuestión, junto con la determinación de reglas tributarias “claras”,
ha sido uno de los focos principales de los reguladores en la breve vida de las
criptomonedas, principalmente alimentado por ese mito de la anonimidad
de las transacciones en criptomonedas, lo cual, como mencionamos antes, es
solo eso, un mito, ya que la realidad nos demuestra la perfecta trazabilidad
de las operaciones.
Tanto es así que una de las primeras regulaciones a escala internacional
fue dictada por la Financial Crimes Enforcement Network, el organismo
estadounidense a cargo de dictar y hacer cumplir la normativa a escala fe-

11 En tal sentido, recomendamos la lectura de los siguientes artículos sobre la cuestión: (i)
heaven, Douglas, “Sitting with the cyber-sleuths who track cryptocurrency criminals”,
MIT Technology Review, 19 de abril de 2018 [http://bit.ly/2T26ks9]; y (ii) kirk, Jeremy,
“Ransomware Payments: Where Have All the Bitcoins Gone?”, BankInfo Security, 28 de
marzo de 2018 [http://bit.ly/3118BWY].
12 Cfr. Jaimovich, Desireé, “Así se usaron las redes wi fi de tres locales de Starbucks para
generar criptomonedas”, Infobae, 16 de diciembre de 2017 [http://bit.ly/2yqkDNw].
13 van Wegberg, R., J.-J. oerlemans & O. van deventer, “Bitcoin money laundering:
mixed results? An explorative study on money laundering of cybercrime proceeds using
bitcoin”, Journal of Financial Crime, 25(2), 419-435, 2018 [http://bit.ly/313ssVB].

303
deral en materia de prevención del lavado de activos y financiamiento del
terrorismo; dicha normativa era una guía interpretativa (FIN-2013-G001)
para identificar qué entidades debían cumplir con las reglas dictadas por ese
organismo.
Al día de la fecha, muchos países han avanzado con normas o guías
similares a la dictada en el año 2013 por parte del gobierno estadounidense.
Es de destacar la comprehensión de la tecnología subyacente por parte del
regulador ya que la Oficina de Control de Activos Extranjeros del Depar-
tamento del Tesoro estadounidense ha llegado a poner en una lista negra a
direcciones de criptomonedas asociadas con ataques de ransomware14. Ello
no es menor puesto que todos aquellos obligados a cumplir con esa orden
deberían realizar un due diligence informático para verificar que las cripto-
monedas que están manipulando no hayan estado involucradas con esas
direcciones en cuestión.
En esta línea, las autoridades nacionales de Argentina también han
seguido un camino similar, ya que la primera norma que hace referencia,
aunque sea de forma indirecta, a las criptomonedas esta relacionada a la
prevención de lavado de activos y financiamiento del terrorismo. Se trata
de la Resolución N.º 300/2014 de la Unidad de Información Financie-
ra (UIF). Esta norma, en su artículo 2, define a las “monedas virtuales”
como “la representación digital de valor que puede ser objeto de comercio
digital y cuyas funciones son la de constituir un medio de intercambio,
y/o una unidad de cuenta, y/o una reserva de valor, pero que no tienen
curso legal, ni se emiten, ni se encuentran garantizadas por ningún país
o jurisdicción”15. El citado artículo agrega: “En este sentido las monedas
virtuales se diferencian del dinero electrónico, que es un mecanismo para
transferir digitalmente monedas fiduciarias, es decir, mediante el cual se
transfieren electrónicamente monedas que tienen curso legal en algún país
o jurisdicción”.

14 Comunicado de prensa de la Oficina de Control de Activos Extranjeros del Departamento

del Tesoro de los Estados Unidos de Norteamérica: http://bit.ly/2Y9VXYO.
15 Esta definición proviene del informe sobre monedas virtuales —Virtual Currencies Key
Definitions and Potential AML/CFT Risks— confeccionado por el Grupo de Acción
Financiera Internacional de junio de 2014, el cual se encuentra disponible para su
consulta en: http://bit.ly/2yqHSqM.

304
 La norma citada de la UIF impone a ciertos sujetos obligados16 la adop-
ción de medidas reforzadas de seguimiento de las operaciones realizadas con
criptomonedas, así como también el reporte de todas las operaciones en las
que intervengan y se involucren criptomonedas. Este seguimiento reforzado
implica una presunción por parte del regulador de que las criptomonedas
son elementos que facilitan la comisión de los delitos que se busca prevenir;
por ejemplo, podría incluir la revisión de listas internacionales de direccio-
nes de criptomonedas asociadas con células terroristas. Sin perjuicio de ello,
es importante remarcar que estas obligaciones solo son exigibles a quienes están
incluidos como sujetos obligados y no son extensibles a quienes no están expre-
samente señalados como destinatarios de la regulación. En tal sentido, resulta
criticable que por medio de una decisión judicial se haga una interpretación

16 Los sujetos obligados indicados por la Resolución N.º 300/2014 de la UIF son los siguientes:
(i) las entidades financieras sujetas al régimen de la Ley N.º 21.526 y modificatorias; (ii)
las entidades sujetas al régimen de la Ley N.º 18.924 y modificatorias y las personas físicas
o jurídicas autorizadas por el Banco Central de la República Argentina para operar en
la compraventa de divisas bajo forma de dinero o de cheques extendidos en divisas o
mediante el uso de tarjetas de crédito o pago, o en la transmisión de fondos dentro y fuera
del territorio nacional; (iii) las personas físicas o jurídicas que como actividad habitual
exploten juegos de azar; (iv) los agentes y sociedades de bolsa, sociedades gerente de
fondos comunes de inversión, agentes de mercado abierto electrónico, y todos aquellos
intermediarios en la compra, alquiler o préstamo de títulos valores que operen bajo la
órbita de bolsas de comercio con o sin mercados adheridos; (v) los agentes intermediarios
inscriptos en los mercados de futuros y opciones cualquiera sea su objeto; (vi) las personas
físicas o jurídicas dedicadas a la compraventa de obras de arte, antigüedades u otros bienes
suntuarios, inversión filatélica o numismática, o a la exportación, importación, elaboración
o industrialización de joyas o bienes con metales o piedras preciosas; (vii) las empresas
aseguradoras; (viii) las empresas emisoras de cheques de viajero u operadoras de tarjetas de
crédito o de compra; (ix) las empresas prestatarias o concesionarias de servicios postales que
realicen operaciones de giros de divisas o de traslado de distintos tipos de moneda o billete;
(x) los escribanos públicos; (xi) las entidades comprendidas en el artículo 9 de la Ley N.º
22.315; (xii) todas las personas jurídicas que reciben donaciones o aportes de terceros; (xiii)
los agentes o corredores inmobiliarios matriculados y las sociedades de cualquier tipo que
tengan por objeto el corretaje inmobiliario, integradas y/o administradas exclusivamente
por agentes o corredores inmobiliarios matriculados; (xiv) las asociaciones mutuales y
cooperativas reguladas por las leyes 20.321 y 20.337 respectivamente; (xv) las personas
físicas o jurídicas cuya actividad habitual sea la compraventa de automóviles, camiones,
motos, ómnibus y micrómnibus, tractores, maquinaria agrícola y vial, naves, yates y
similares, aeronaves y aerodinos; (xvi) las personas físicas o jurídicas que actúen como
fiduciarios, en cualquier tipo de fideicomiso y las personas físicas o jurídicas titulares de o
vinculadas, directa o indirectamente, con cuentas de fideicomisos, fiduciantes y fiduciarios
en virtud de contratos de fideicomiso; y (xvii) las personas jurídicas que cumplen funciones
de organización y regulación de los deportes profesionales (Ley N.º 26.683, art. 15).

305
analógica y se extienda estas obligaciones a una persona física que no actúe
como sujeto obligado para imputar a una persona por lavado de dinero17.

3.4. Sujetos afectados por ataques informáticos sobre criptomonedas

Finalmente, respecto a los sujetos atacados o afectados se puede diferenciar a
los tenedores individuales de criptomonedas, los intermediarios que ofrecen
algún tipo de servicio relacionado con las criptomonedas que implique su
custodia e, incluso, al mismo sistema blockchain conformado como los dife-
rentes participantes que ponen su poder computacional al servicio de la red.
Los tenedores individuales suelen ser víctimas frecuentes de accesos
no autorizados o estafas informáticas. Desde un phishing que le permite al
atacante obtener la clave y cuenta de su billetera electrónica donde están
almacenados, hasta un ataque como el que comentaremos en el próximo
punto, que permite al atacante tomar el control virtual de un intermediario
y transferirse criptomonedas a otra billetera virtual a su nombre.
Los intermediarios que ofrecen servicios suelen ser las víctimas más
directas de ataques informáticos. Esto es así por una sencilla razón: son
quienes almacenan la información para acceder a posibles transferencias
de criptomonedas. Esto fue lo que ocurrió en el caso argentino que comen-
taremos en el punto siguiente: el atacante accedió en forma no autorizada
a un exchange y una vez allí logró acceder a los sistemas informáticos de la
compañía y cursar transferencias de Ether, el token asociado a la blockchain
de Ethereum, a cuentas que tenía en otras plataformas.
Por último están los ataques directos contra la red blockchain. Cabe aquí
hacer una aclaración: dado que las criptomonedas funcionan como sistemas
descentralizados, no hay un punto común de control único, sino que el bloc-
kchain está distribuido en todos los usuarios de la red. Por lo tanto un ataque
contra el sistema de blockchain implica, al menos, un ataque contra un 51%
de los usuarios de toda la red: es casi imposible que esto ocurra, dado que
es imposible reemplazar o impersonar todos los ordenadores en cuestión lo-
calizados en diferentes partes del mundo y conectados a la red. La potencia
de cálculo que se requiere es tan alta que ni un gobierno ni una empresa
podrían lograrlo. Asimismo, y en particular con las criptomonedas más tra-

17 Cfr. http://bit.ly/31UVJ60.

306
dicionales como el Bitcoin, la misma red está en constante estado de alerta
y detectando posibles situaciones que puedan sentar las bases para que una
entidad controle el “famoso” 51% de ella. A modo de ejemplo, hubo varias
situaciones donde pools de minería llegaron a obtener poder considerable
de cómputo de la red. Pero en esos casos los mismos usuarios han tomado
cartas en el asunto y transfieren poder de cómputo de ese pool hacia otros o
incluso a la creación de nuevas agrupaciones de mineros18.
Si bien esto es poco probable dada la arquitectura del sistema, un ataque
contra todo el sistema solo sería posible si el atacante dominara una mayoría
de nodos de la red encargados de verificar las transacciones. Ahora bien,
supongamos que este “supervillano” existe y desea atacar exitosamente el
sistema de blockchain de Bitcoin para alterar alguna transacción. En este
supuesto, que es totalmente hipotético, cabe preguntarse: ¿quiénes son las
víctimas del delito? Aquí entendemos que podrían darse dos líneas argu-
mentales: (i) por un lado, las afectaciones que sufran aquellas personas que
intentaron realizar transacciones y estas quedaron en una cadena menor; y
(ii) por otro lado, las afectaciones que podrían sufrir todos los tenedores de
tokens como consecuencia de una bajada de precio motivada por el ataque
y la pérdida de confianza en la blockchain en cuestión.

4. Los primeros casos de apropiación de criptomonedas

El primer caso conocido de apropiación de criptomonedas que tomó
relevancia internacional fue el ataque al exchange japonés denominado
“Mt. Gox”, el cual involucró una cantidad superior al medio millón de
bitcoins, equivalente a 368 millones de dólares estadounidenses según la
cotización de aquel momento19. Además de ser el primer caso importante
de robo de criptomonedas, la caída de Mt. Gox resultó en un disparador
de reflexiones para toda la industria, ya que mostró la importancia que
reviste la ciberseguridad en materia de custodia de criptoactivos, dando
lugar a la oferta de soluciones de almacenaje de criptomonedas más ro-

18 Cfr. Favivar, Cyrus, “Bitcoin pool GHash.io commits to 40% hashrate limit after its
51% breach”, ArsTechnica, 16 de julio de 2014 [http://bit.ly/2ynZjZ9].
19 Para mayor detalle sobre el incidente de seguridad sufrido por el exchange Mt. Gox
recomendamos consultar los siguientes enlaces: (i) http://bit.ly/31eMZXB; y (ii)
http://bit.ly/2ypMyNK.

307
bustas así como también a admitir la necesidad de controles por terceros
independientes como firmas de auditoría.
Asimismo, la caída de Mt. Gox mostró al mundo jurídico que las crip-
tomonedas se integran sin problema alguno con el resto del ordenamiento
jurídico y el resto de la normativa general es de aplicación. A modo de ejem-
plo, la quiebra de Mt. Gox fue llevada a cabo siguiendo las normas generales
del procedimiento concursal de Japón; en todo caso, este incidente lo único
que hizo fue poner de relieve la necesidad de facilitar el acceso a la justicia
por parte de los damnificados, ya que Mt. Gox tenía clientes en todas par-
tes del mundo y muchos de estos no pudieron presentar su crédito en sede
concursal por no contar con los recursos para acceder a la justicia nipona.
Sin embargo, esta cuestión excede el presente artículo y corresponde ser
analizada desde otros ángulos.
Este solo fue uno de los principales hurtos de criptomonedas dentro de
una lista mucho más grande y que sigue creciendo día a día, siguiendo la ten-
dencia general de los ataques informáticos contra compañías tecnológicas,20
como puede apreciarse en publicaciones especializadas en la materia21. Sim-
plemente para poner cifras a estos fenómenos, luego del incidente de Mt. Gox,
tuvieron lugar los ataques contra Coincheck y a Bitfinex por 534 millones y 65
millones de dólares estadounidenses, respectivamente. Estos ataques pudieron
prosperar por las ineficientes medidas técnicas desplegadas por esas compa-
ñías para salvaguardar los fondos de los usuarios y no por la inseguridad de
la tecnología subyacente. Es decir, se trata de actividades que podrían haber
tenido lugar en otras industrias con efectos equivalentes si no se adoptaban
medidas de seguridad informática como sucedió en estos casos.

5. Primer caso argentino sobre apropiación de criptomonedas

. . o hecho del ca o
El 21 de noviembre de 2018 la Sala 3 de la Cámara Tercera en lo Cri-
minal de la Provincia del Chaco dictó sentencia en el marco de la causa

20 Para mayor detalle sobre el fenómeno de los incidentes de seguridad recomendamos la lectura
de: chomcZyk, Andrés y Pablo A. palaZZi, “La notificación de incidentes de seguridad en
el anteproyecto de ley de protección de datos personales”, RLPDP – Revista Latinoamericana de
Protección de Datos Personales, N.º 4, CDYT, Buenos Aires, 2017, pp. 191-210.
21 Para mayor detalle sobre los principales “robos” de criptomonedas recomendamos
consultar los siguientes enlaces: (i) http://bit.ly/310hRuA; y (ii) http://bit.ly/2YAP1Dv.

308
“P., H. M. s/ defraudación informática en concurso real con violación de
secretos y de la privacidad”, tramitada bajo el N.º 40134/2017-1, en la
cual se dispuso la primera condena por la “apropiación” de criptomonedas
en la República Argentina.
Los hechos que motivaron el caso fueron los siguientes. Entre los días 14
y 16 de diciembre de 2017, el Sr. H. M. P. realizó un ataque informático con-
tra el exchange Mercury Cash, mediante el cual logró acceder a los sistemas
de la empresa afectada por una técnica de ataque muy común22 y tomar el
control del mismo. Esto le permitió cursar transferencias de ether, la cripto-
moneda asociada a la blockchain de Ethereum, a cuentas que el condenado
mantenía en otras plataformas, para luego descargarlas en una billetera de
su titularidad y dominio almacenada en un teléfono celular.
En total el atacante logró transferir fuera del exchange Mercury Cash un
total de 500 ethers, que a la fecha del hecho delictivo equivalían a la suma
de 434.352 dólares.
El atacante fue identificado gracias a las medidas de seguridad informá-
tica que mantenía el exchange, que permitieron identificar las direcciones IP
desde las cuales el atacante ingresó al sistema, así como también gracias a la
colaboración entre los exchanges, ya que parte de las primeras direcciones a
las cuales se enviaron ethers eran de billeteras de otros exchanges.

5.2. Decisión judicial

En atención a estos hechos, el imputado fue condenado por el delito de
defraudación informática en concurso real con violación de secretos y de la
privacidad —acceso ilegítimo a sistemas informáticos— (art. 173 inc. 16, art.
153 bis segundo supuesto en función del art. 55 del CP), tras la solicitud de jui-
cio abreviado en la cual admitió su culpabilidad sobre los hechos imputados.

22 Se trató de una inyección de SQL en el código de la base de datos del exchange. Esta forma
de ataque contra sitios web que generalmente usan Java, SQL o PHP consiste en aprovechar
fallas en las rutinas de validación de acceso para lograr el acceso a la base de datos de SQL
del sitio, y de esa forma acceder a las contraseñas del administrador del sistema. Cabe aclarar
que todo acceso no autorizado surge de una falla en el desarrollo de la aplicación o de un
error humano. En el primer caso, las vulnerabilidades que permiten una inyección de SQL se
originan generalmente en un error en el desarrollo. Por eso muchas empresas que desarrollan
software de seguridad implementan un “ciclo de vida” seguro en el desarrollo. Pero es casi
imposible llegar a testear todas las opciones posibles antes de lanzar un producto un producto
de software. En la práctica la seguridad nunca está 100% garantizada.

309
 A criterio del tribunal interviniente, el imputado defraudó a los dueños
del portal Mercury Cash mediante el ataque informático y les ocasionó el
perjuicio de perder una suma considerable de ethers.
A su vez, el tribunal consideró que correspondía agravar la pena pues-
to que la estafa ha recaído sobre un proveedor de servicios financieros. En
atención a todo, el tribunal interviniente dispone la aplicación de una pena
de dos años de prisión de efectivo cumplimiento.

5.3. Análisis de la decisión

Estamos de acuerdo con las conclusiones del fallo en cuanto a que conde-
na al imputado por una estafa informática. Las manipulaciones que realizó el
imputado en este caso son típicas de la estafa informática. En tal sentido, el im-
putado realizó manipulaciones en el sistema del exchange, en el caso una inyec-
ción de SQL en la plataforma atacada, lo que le permitió obtener acceso como
administrador de sistema al back office del exchange y disponer de la transferencia
de una determinada cantidad de ethers de la billetera del exchange23.
En cuanto a la calificación del delito cometido, creemos que el tribunal
adoptó la figura de estafa informática por la amplitud que tiene ese tipo
penal para su comisión. En tal sentido, entendemos que el tribunal ha con-
siderado que en este caso se ha configurado una alteración de registros in-
formáticos,24 supuesto que habilita a la aplicación del tipo penal previsto en

23 En líneas generales, suele hablarse de que los exchanges manejan billeteras “calientes”
y “frías”, las cuales pueden distinguirse en función de la rapidez con la cual pueden
disponerse de los fondos que están asociados a cada una de ellas. Las billeteras “frías”
implican la interposición de medidas de seguridad informática que demoran la
disposición de los tokens, como podría ser la necesidad de contar con la firma de dos
o más personas, esperar cierto tiempo desde que se pretender hacer la transacción, etc.
Por otro lado, las billeteras “calientes” implican la inmediata disposición de los fondos
que tienen asociados sin la necesidad de superar medidas de seguridad estándar para
el tipo de billetera que se trate. Hasta el momento no existe normas definidas sobre
los requisitos para la custodia de criptoactivos, incluyendo criptomonedas. Sin perjuicio
de ello, quienes ofrecen ese servicio suelen emplear únicamente billeteras “calientes”
para almacenar una porción ínfima de todos los fondos custodiados y exclusivamente
para atender las necesidades del giro comercial ordinario de la compañía; el resto de
los fondos y aquellos que han sido entregados para ser custodiados. En el caso que nos
ocupa, parecería que el exchange manejaba todo desde una única billetera, situación
propia de un exchange con malas prácticas de seguridad informática o con escaso
volumen de transacciones, ambas características de exchanges “jóvenes”.
24 Cfr. palaZZi, Pablo, Delitos informáticos, 3.ª edición, p. 169.

310
el artículo 173 inciso 16 del CP. En concreto, el condenado había ingresado
en los sistemas del exchange haciéndose pasar como administrador y dispo-
niendo la transferencia de fondos a los cuales no tenía derecho alguno.
Pasando al análisis de los elementos del delito de estafa, es posible
concluir que, efectivamente, la conducta del atacante ha configurado to-
dos los elementos del tipo penal, a saber: (i) la defraudación; (ii) el ardid
informático; (iii) la afectación al normal funcionamiento del sistema in-
formático; y (iv) la disposición o afectación patrimonial. A todo ello debe
agregarse que las acciones con ánimo de defraudar deben ser realizadas
de forma dolosa.
En primer lugar, el atacante elaboró un ardid para engañar al siste-
ma de back office del exchange para hacerle creer que estaba operando un
usuario con privilegios suficientes (una suerte de superusuario) para dis-
poner transferencias sobre los fondos en la billetera de la compañía me-
diante el ataque informático acreditado en autos. Con lo cual, además de
configurar el segundo elemento del tipo penal, también podemos dar por
satisfecho el requisito de una conducta que califique de “defraudar” y se
cumpla con el verbo típico necesario. Claramente esto da lugar a que se
haya visto afectado el normal funcionamiento de la plataforma ya que el
atacante no era parte del personal de la empresa ni contaba con ningún
tipo de autorización que le permitiese realizar la operación que realizó, así
como también es probable que durante cierto período la operatoria para
el resto de los usuarios se haya visto afectada. Finalmente, con las transfe-
rencias a las billeteras del condenado, quedó perfeccionada la disposición
patrimonial al salir de la esfera de control del exchange los criptoactivos
“robados” y quedando bajo el dominio del atacante; tal como menciona-
mos al principio, estos criptoactivos tienen valor pecuniario y medible en
términos dinerarios, permitiendo así la configuración del último elemento.
Un tema que no nos parece menor es la condena del delito de acceso
ilegítimo a sistemas informáticos en concurso real con el delito de estafa
informática. Dicho tipo penal, previsto en el artículo 153 bis del CP, pre-
senta el carácter de un tipo penal subsidiario o residual. En este sentido, la
doctrina25 señala que este delito es, en muchos casos, la antesala a otros tipos

25 Cfr. palaZZi, Delitos informáticos, 3.ª edición, p. 191.

311
penales; claramente, para configurar la estafa informática aquí reseñada, el
atacante tuvo que obtener un acceso ilegítimo a los sistemas del exchange,
con lo cual una vez que el delito de estafa queda configurado —lo cual tuvo
lugar en este caso, ya que el atacante pudo hacerse con casi medio millón
de dólares en criptoactivos—, el delito de acceso ilegítimo queda subsumido
en la estafa.
Respecto a la prueba informática, nos interesa resaltar la importancia de
su valoración en forma adecuada por los tribunales de justicia. En este caso,
las pruebas eran varias pero todas parecen indicar la autoría del condenado.
Sin perjuicio de ello, consideramos que los órganos intervinientes durante la
etapa de instrucción deberían haber realizado medidas probatorias propias
en lugar de apoyarse exclusivamente sobre las pericias privadas realizadas
por el personal del exchange; aquí no está en juicio la seriedad de la eviden-
cia presentada por la víctima, la cual parecería ser coherente y realizada
conforme el estado de la técnica, pero la realidad es que se trata de evidencia
proporcionada por el querellante sin ningún tipo de control judicial y que
sus resultados podrían haber estado alterados para mostrar una realidad
que no era. De la lectura del fallo, parecería que a partir de esta prueba se
dispuso el allanamiento y detención del condenado, actividad que dio lugar
a la confesión de este. En razón de ello, es importante dejar en claro esto
puesto que, al tratarse de un fallo de primera instancia, cabía la posibilidad
de apelarlo por estos motivos. La única pericia judicial practicada en autos
fue aquella sobre los elementos secuestrados al condenado con motivo del
procedimiento antes indicado. Lo correcto, a nuestro entender, habría sido
que el contenido de la pericia informática privada hubiera sido reproducido
en sede judicial para dotar de validez a los procedimientos practicados. La
complejidad técnica de la materia subyacente no puede ser un obstáculo
para nuestra infraestructura judicial a la hora de atender las nuevas realida-
des con las cuales trabaja el cibercrimen.
Otra cuestión también que es merecedora de ser remarcada es la apa-
rente colaboración entre el exchange afectado y otras plataformas donde el
atacante habría movido los ethers en un primer momento. A nuestro cri-
terio, esto responde principalmente a la falta de entendimiento por parte
de las autoridades judiciales y de las fuerzas de seguridad de la tecnología
subyacente. Los propietarios del exchange Mercury Cash consideraron más

312
oportuno poner en conocimiento del resto de la industria la situación para
colaborar en la identificación de las billeteras de destino de los fondos sus-
traídos indebidamente que en informar primero a las autoridades guberna-
mentales para que sean estas quienes coordinen las tareas de investigación
con el resto del ecosistema. Esto es consecuencia de la tendencia del ecosis-
tema cripto de tender hacia la autorregulación.
Finalmente, el último punto que merece un comentario es la califica-
ción que hace el tribunal de los sistemas del querellante como servicios
financieros para disponer la aplicación del delito agravado previsto en el
artículo 153 bis del CP. En este sentido, parte de la doctrina señala que este
concepto de servicios financieros va más allá de las instituciones someti-
das a las regulaciones del BCRA y que podrían contemplar a compañías
fintech; la razón de ello, a criterio de tal doctrina, radica en que el objeto
de tutela penal de la modalidad agravada del delito es la protección de los
servicios que están involucrados en la gestión de fondos de terceros, sean
parte del sistema financiero tradicional o no. A efectos de interpretar el
tipo de servicios comprendidos, consideramos que resulta apropiado se-
guir el criterio fijado por el BCRA en diversas oportunidades por el cual
se incluye a los actores de la industria fintech dentro del ámbito de control
de aquella entidad, aun cuando el BCRA a la fecha ha decidido no apli-
carles una normativa específica y simplemente realiza un monitoreo o se-
guimiento de sus actividades. Entendemos que esta cuestión, por lo tanto,
deberá ser resulta caso por caso.
Ahora bien, dado que la empresa atacada era una proveedora de solu-
ciones de custodia y negociación de criptoactivos, debemos analizar si este
tipo de actividades está incluido o no dentro de aquellas que hacen al siste-
ma financiero. Siguiendo el criterio sentado por el BCRA en su comunicado
de prensa de 2014,26 los criptoactivos se encuentran fuera de ámbito de su
competencia y, a la fecha, no ha habido ningún tipo de comunicación formal
que exprese lo contrario. Con lo cual, creemos que la calificación de “ser-
vicio financiero” por parte del tribunal no ha sido acertada y no procedía
la aplicación del delito en su modalidad agravada. Si el tribunal pretendía

26 El comunicado original podía ser encontrado en el siguiente enlace: www.bcra.gov.ar/

bilmon/bm023000.asp. Actualmente solo es accesible mediante The Wayback Machine.

313
hacer esto, era necesario, como condición previa, que el BCRA cambiase su
postura al respecto y admitiera que las criptomonedas formaban parte del
sistema financiero.

6. Primeras conclusiones
Las criptomonedas están teniendo impacto en todo tipo de relaciones
humanas; los delitos no son la excepción a ello. Si algo tiene valor para
una persona, existirá otro individuo que estará interesado en hacerse de ello
contra la voluntad del legitimo titular. Asimismo, las criptomonedas, como el
efectivo de Internet, también serán usadas de la misma forma que es usado
el dinero fiduciario emitido por los Estados y podría estar involucrado como
instrumento en un delito. En cualquier caso, como juristas, debemos estar
en condiciones de dar respuestas a estas situaciones estando preparados para
ello mediante una acabada comprensión de la tecnología subyacente.
Este caso nos demuestra que es posible lograr recuperar una suma de
criptomonedas en el caso de un ataque informático así como también es po-
sible recuperar el dinero físico que es robado de un banco. Claramente por
las características técnicas de las redes basadas en tecnología blockchain, el
análisis forense para dar con los criminales será diferente pero ello no es un
obstáculo para recuperar los fondos y condenar a los responsables de hecho
ilícito. Por lo tanto, tampoco debería ser, como bien ha resuelto el tribunal,
un obstáculo el uso de esta tecnología para la resolución jurídica del caso y
la condena de los delincuentes. Es por ello que consideramos positivo que la
justicia argentina esté en condiciones de hacer frente a estos nuevos desafíos
jurisprudenciales al lograr un entendimiento acabado de la realidad tecno-
lógica para resolver el caso y dar una solución a los nuevos hechos jurídicos.

314