Chaves, además, sorprendió al decir que tienen “indicaciones claras” de que existen costarricenses colaborando con el grupo Conti, responsable de los ciberataques que afectan gravemente a nueve instituciones públicas.

“La guerra es contra un grupo terrorista internacional que, aparentemente, tiene filibusteros en Costa Rica que están traicionando a la patria”, aseveró el mandatario.

LEA MÁS: Hacienda sigue sin dar una fecha para restablecer sistemas ATV y TICA

Las autoridades no han brindado mayores detalles al respecto pues argumentan que es un tema de seguridad nacional. Tampoco se sabe si estas personas son funcionarias públicas o son externas a las entidades.

¿Qué dicen las leyes del país?

La legislación costarricense establece una serie de delitos y penas agrupadas en una gran sombrilla de delitos informáticos. Primero se debe conocer la participación específica que tuvo cada persona en los ataques para definir el cargo que enfrentará.

“Si participan activamente en el desarrollo de los ataques podrían cometer delitos informáticos, pero si su participación es de facilitación o asistencia en la comisión del delito por parte de Conti, podrían cometer penas como asociación ilícita o facilitación del delito informático”, explicó Mauricio París, socio especialista en Tecnología de Ecija Legal.

Están tipificados una serie de delitos relacionados a esta materia. Una misma acción podría encuadrar en más de un tipo penal, lo que se conoce como “concurso”; en ese caso, se sancionan los delitos en su conjunto. Algunos de ellos son:

• Estafa informática: hasta diez años de prisión.
• Daño informático: si la información fue suprimida, destruida, etc. Pena de uno a tres años, que aumenta a tres y seis años si la información es insustituible o irrecuperable.
• Espionaje informático: cuando a través de manipulación informática o tecnológica, se manipule información de valor para el tráfico económico de la industria y el comercio. Pena de tres a seis años.
• Sabotaje informático: cuando se saca provecho propio o de un tercero, se destruye o inutilice información u obstaculice el funcionamiento, bajando páginas por ejemplo. Pena de tres a seis años, y de cuatro a ocho años si se provoca un peligro colectivo o daño social, si los datos están en bases públicas o lo están haciendo los encargados del sistema.
• Propagación de programas maliciosos: pena de uno a seis años, que sube a tres y nueve si afecta una entidad financiera, el funcionamiento de servicios públicos o pone en peligro la salud de personas.

LEA MÁS: Decreto sobre ‘hackeo’: Presidencia asume la emergencia del ataque cibernético a entes públicos

• Facilitación del delito informático: cuando se actúa en favor del delito, con pena de uno a cuatro años.
• Violación de datos personales: cuando se pone en peligro o riesgo la intimidad de una persona, al difundir información personal. La pena es de uno a tres años de prisión, que aumenta a dos y cuatro años si lo cometen las personas encargadas de dar soporte al sistema, si tiene impacto en la salud, si se trata de menores de edad y algunas otras variables.
• Violación de correspondencia: si se difunden o intervienen comunicaciones de terceros. La pena es de uno a tres años y de dos a cuatro si son las personas encargadas de la comunicación o redes internas.
• Narcotráfico y crimen organizado: las penas se duplican cuando por medio de un sistema o red informática o telemática se afecte la lucha contra el narcotráfico o el crimen organizado.

“En algunos casos la pena se va a agravar si son personas que cuentan con acceso (a los sistemas) por las funciones que tienen o son las encargadas de dar soporte”, comentó Juan Ignacio Zamora, profesor de ciberseguridad de la Universidad Cenfotec.

En Costa Rica se presentan delitos informáticos con frecuencia, como estafas o suplantación, y el Organismo de Investigación Judicial (OIJ) lleva cuenta de estos. Solo en el 2020, se registraron cerca de 17.500 delitos informáticos.

LEA MÁS: Epidemia de ciberestafas se ensaña con los clientes bancarios

También ha habido detenciones relacionadas con los mismos. No obstante, los especialistas coincidieron en que no hay antecedentes de situaciones de esta magnitud, que involucran al crimen organizado.

En la Cámara de Tecnología de Información y Comunicación (Camtic) tampoco tienen registro de un ataque de estas dimensiones.

“Este ataque no tiene precedentes en Costa Rica en cuanto a la masividad del mismo y, por tanto, no es un tema que se haya discutido en la justicia costarricense”, opinó Paul Fervoy, presidente de Camtic y docente de la Universidad Lead.

Persecución internacional

Chaves mencionó durante la conferencia del lunes 16 de mayo que Costa Rica está recibiendo apoyo de España, Israel y Estados Unidos. El ministro de Ciencia y Tecnología, Carlos Enrique Alvarado, precisó que se trata de ayuda de inteligencia para rastrear a los ciberatacantes. Sin embargo, ubicarlos es una tarea compleja, y aún más lo es procesarlos.

“En delitos informáticos siempre es una lotería, porque no necesariamente las personas están en el país donde se comete el delito. Eso complica mucho el cómo se logra ubicar a un delincuente informático”, aseguró Zamora.

En caso de encontrarlos, los tribunales costarricenses serían competentes para juzgar a estas personas aun y cuando hayan actuado desde el extranjero, pues la afectación se dio en Costa Rica.

LEA MÁS: Tres de cada 10 firmas en Costa Rica no invierten en protección informática

París agregó que reformas incluidas tras el ataque terrorista del 11 de setiembre del 2001 en Estados Unidos permiten que prácticamente cualquier uso ilegal de una computadora conectada a Internet que afecte el comercio o la comunicación internacional puede ser objeto de persecución legal en el país del norte, pero reconoció que la mayoría de estos ataques quedan impunes.

Una de las razones es que con frecuencia estos grupos operan desde países que los protegen activa o pasivamente y que no los extraditan, como Rusia, Corea del Norte o China.

Cualquier otro país que se haya sentido afectado por sus acciones puede decidir juzgar a estos ciberdelincuentes.

Fervoy puntualizó que en EE. UU. se logra arrestar solo a tres de cada 1.000 cibercriminales y la tasa de éxito global ronda esa cifra.

Existen herramientas de cooperación internacional en estos temas, como la Convención de Budapest, de la que Costa Rica es parte. En mayo hubo una adición al tratado, pero Costa Rica no ha firmado este acuerdo nuevo.

“Un grupo criminal internacional como Conti, de ser desarticulado, lo sería probablemente por el Gobierno de los Estados Unidos, Israel o Interpol, y probablemente serían extraditados (si se logran capturar en un país que sí coopere y los extradite) a los EE. UU. para su juzgamiento”, finalizó el abogado de Ecija.