Por Federico Lucio Godino y Maria Laura Aldavez
DOXING
AVANCE DE LAS NUEVAS TECNOLOGIAS Y SU FALTA DE REGULACION EN EL ORDENAMIENTO JURIDICO ARGENTINO
1 -Introducción
La creación de nuevas tecnologías que intermedian en la comunicación entre las personas trae aparejado nuevas posibilidades para su aprovechamiento indebido e ilícito.
Con la expansión de Internet, la capacidad de procesamiento de datos e información, y el acceso a miles de personas en un medio interactivo de características globales amplió las posibilidades de comisión de hechos ilícitos e ilegales.
A ello, surge lo que actualmente conocemos como “ciberdelincuencia”, que se constituye como una problemática social propia de las sociedades posmodernas y actuales, en las que luego del auge de la conocida web social a inicios del siglo XXI, las prácticas cotidianas de relacionarse entre las personas han cambiado, trayendo consigo nuevas formas de aprender y coexistir a través de las redes sociales.
El ciberdelito está marcado, en la mayoría de los casos, por la inseguridad en la que se encuentra la víctima, ya que puede ser atacada en cualquier momento y desde cualquier lugar, lo que genera un sentimiento negativo de pérdida de control con el uso de las tecnologías. En contraposición, el agresor se refugia en esta inseguridad de la víctima y el anonimato que permiten las redes sociales, lo que le hace sentir impune y protegido.
Internet, al margen de la multiplicidad de beneficios que nos brinda como sociedad, también se ha convertido hoy en día en un espacio de inseguridad, velocidad y anonimato que ya está presente en todos los aspectos de nuestra vida, especialmente en los modos de relacionarnos y socializarnos.
La expansión de las nuevas tecnologías en los últimos tiempos y las características del entorno digital hacen que la ciberdelincuencia tome un importante papel entre los delitos más comunes de nuestros tiempos.
En este sentido, como las herramientas tecnológicas avanzan a pasos agitados para darnos efectividad y practicidad, lo cierto es que, cada vez más, surgen con nuevas maniobras delictivas, que obligan a los agentes de seguridad, operadores judiciales e incluso a los litigantes a tomar conocimiento de ello y actuar en consecuencia.
El tema de la protección a la intimidad y la privacidad se empezaron a debatir mediante el uso de nuevas tecnologías, dado que la obtención de datos personales de los usuarios que navegan en línea, cada vez están más expuestos a ser de público conocimiento, sin su consentimiento.
Si bien, en los últimos años se han incorporado varios tipos penales relacionados con la criminalidad informática, tanto en el Código Penal de la Nación como en el Código Contravencional de la Ciudad Autónoma de Buenos Aires, aún no se ha regulado como delito en nuestro ordenamiento jurídico la compilación y exposición de datos sensibles en la web, sin autorización del usuario titular y/o propietario.
Aquí, es donde cobra relevancia el concepto de DOXING.
2-Nociones básicas
Para que podamos introducirnos en el tema, es importante explicar brevemente que el término “doxing” o “doxxing” proviene de la abreviatura “dropping dox”, donde “dox” significa “documentos”.
Su terminología, proviene de la denominada “cultura hacker”, ya que en la década de 1990 acortaron el término a “docs” y luego a “dox”, en referencia a la búsqueda de documentos o de información personal, como la dirección postal, y su posterior publicación en línea.
Tradicionalmente, el doxing nacía de una discusión en línea, que se intensificaba hasta que uno de los participantes buscaba información sobre el adversario que utilizaba un alias o seudónimo en la web y hacía pública su información. Es decir, que su término se hizo popular, cuando las enemistades entre hackers rivales llevaron a “revelar documentos e información” sobre personas que eran conocidas sólo bajo un nombre de usuario o alias.
En la actualidad, hemos visto como la definición de “doxing” se ha ampliado más allá de la comunidad mundial de hackers, ya que ahora también se utiliza para la exposición de información personal de cualquier persona hasta incluso con su nombre real, no solo para revelar datos personales a aquellos que utilizan un alias.
De hecho, el “doxing” se ha convertido en una herramienta popular en las guerras culturales, con activistas que lo ejercen contra personas con ideologías opuestas. De hecho, muchas personas famosas y periodistas han sido víctimas del doxing, lo que los ha llevado a sufrir incluso extorsiones y amenazas de muerte.
Por lo tanto, se entiende que el “doxing” es una técnica de ingeniería social, la cual consiste en compilar, revelar y/o exponer la información personal y privada de alguien, sin su consentimiento, de forma online para que sea de público conocimiento, tal como sus nombres y apellidos, domicilios, correos electrónicos, números telefónicos, cuentas bancarias, etcétera.
El objetivo del “doxing” hoy en día, es amplio, suele ser utilizado para humillar, intimidar, hostigar, o perjudicar a una persona, así como también suele estar asociado a otros tipos penales como el delito de estafa, amenazas, defraudación informática, entre otros como veremos a continuación.
3-Cómo funciona el doxing
Quienes llevan adelante esta práctica, los llamados “doxers”, recopilan datos sobre las rutas de navegación de personas que circulan por Internet y las unen para revelar información personal sin consentimiento, de personas reales que hay detrás de un alias, o de cualquier usuario de internet con su nombre real.
Usualmente, quienes que aplican el doxing desean ir más allá en su conflicto con determinados objetivos de Internet y hacer que la rivalidad pase al mundo real, revelando información al público como:
- Datos personales
- Domicilio
- Casillas de correo electrónico
- Número de teléfono particular
- Información de cuentas bancarias
- Fotografías y videos privados
Sin embargo, los agentes que utilizan el “doxing” generalmente emplean técnicas OSINT -inteligencia de fuentes abiertas-, para recopilar información, las cuales se entienden que son herramientas permitidas, ya que contienen datos públicos no preservados.
Las situaciones más comunes de doxing suelen dividirse en estas tres categorías:
- Divulgar online información de identificación personal y privada de una persona.
- Revelar información anteriormente desconocida de una persona privada online.
- Divulgar información a una persona privada online podría ser perjudicial para su reputación y la de sus socios personales o profesionales.
Para obtener este tipo de información, los métodos que suelen utilizarse para el “doxing” son:
- Seguimiento de nombres de usuario: Muchas personas utilizan el mismo nombre de usuario en diferentes servicios. Esto permite que los posibles agentes que apliquen el “doxing” puedan crear una imagen de los intereses del objetivo y de cómo emplea su tiempo en Internet.
- Consultas en bases de datos para determinar el propietario de un dominio o dirección de IP: Cualquier persona con un nombre de dominio tiene información almacenada en un registro que a menudo está disponible públicamente (datos personales, número de teléfono, etcétera), por lo tanto, dicha información puede ser obtenida a través de herramientas, como la conocida “whois”, que se utiliza para efectuar consultas en una base de datos y permite determinar el propietario de un nombre de dominio o una dirección IP en Internet.
- Phishing: Es un tipo común de ciberataque que se dirige a las personas a través del correo electrónico, mensajes de texto, llamadas telefónicas, entre otros; por lo tanto, si la persona utiliza -por ejemplo- una cuenta de correo electrónico no segura o cae en una estafa de phishing, el doxer puede descubrir correos electrónicos confidenciales y publicarlos online.
- Acoso en las redes sociales: Esto sucede mucho con las cuentas de redes sociales que son públicas, un usuario que aplica el “doxing” puede encontrar las respuestas a tus preguntas de seguridad, lo que lo ayudaría a entrar en otras cuentas online.
- Cifrado de registros gubernamentales: Si bien la mayoría de los registros personales no están disponibles online, existe determinada información que se puede obtener en sitios online gubernamentales, o bien se pueden obtener por medio de phishing.
- Seguimiento de direcciones IP: La dirección IP, que está vinculada a la ubicación física de una persona, por lo tanto, una vez que los usuarios que se dedican al “doxing” logren obtener el número de IP, pueden publicar datos públicamente, o bien efectuar amenazas y/o hostigamientos.
- Analizador de paquetes: Este término hace referencia a que los usuarios que emplean el “doxing” interceptan datos de Internet y buscan de todo, desde contraseñas, números de tarjetas de crédito e información de cuentas bancarias hasta mensajes de correo electrónico antiguos. Los usuarios que emplean el “doxing” lo hacen conectándose a una red online, descifrando sus medidas de seguridad y recopilando los datos que entran y salen de la red. Una manera de protegerse del analizador de paquetes es mediante una VPN.
- Uso de agentes de datos: Los agentes de datos recopilan información sobre los usuarios y venden esa información con ánimo de lucro. Asimismo, los usuarios que emplean el “doxing” pueden crear una imagen que permite descubrir a la persona real detrás de un alias, incluido el nombre, la dirección física, la dirección de correo electrónico, el número de teléfono y mucho más, a los fines de vender esta información.
4-Ausencia de un marco normativo
Tal como hemos adelantado en el acápite I, la práctica del DOXING no se encuentra tipificada como delito, por lo tanto, si la información expuesta por el agente es de dominio público y se obtiene mediante métodos legales, no configuraría delito alguno.
Es decir, que la conducta descripta es totalmente atípica.
Antes de continuar con el tema objeto de estudio, es preciso definir al delito como aquella acción (en sentido amplio), típica, antijurídica y culpable; de esta definición resumidamente surgen los elementos o estadios que integran la teoría del delito: la acción, el tipo penal, la antijuridicidad y la culpabilidad, que serán abordados oportunamente. En caso de ausencia de estos elementos, irremediablemente no deberá configurar una conducta delictiva.
Lo que se intenta a partir de la aproximación general acerca de la teoría del delito, que es entendida como acción típica, antijurídica y culpable, que funciona como un sistema de filtros y permite abrir sucesivos interrogantes acerca de una respuesta habilitante del poder punitivo por parte de las agencias jurídicas, es que constituye la más sobresaliente función del derecho penal con relación a ese poder represivo y que se encuentra plasmado en las diferentes leyes penales (Zaffaroni, 2.002).
El elemento sobre el cual nos vamos a abocar en el presente artículo es la tipicidad, entendida como el resultado de un juicio u operación mental llevada a cabo por el intérprete o juez, que permite determinar que la conducta objeto de examen coincide con la descripción abstracta contenida en la ley penal. Por el contrario, si realizado dicho procesamiento surge que el resultado es negativo porque el comportamiento en cuestión no se adecua al respectivo tipo penal, se dirá que estamos en presencia de la atipicidad (Lascano [h], et. al., 2.005, p. 262).
Por otra parte, y con respecto a la función garantizadora del tipo, ella se deriva del principio de legalidad –nullum crimen sine lege –, el que asegura que solamente aquellas conductas descriptas previamente por la ley penal serán merecedoras de pena. Es necesario frente a ello que el legislador utilice de manera precisa y adecuada el uso del lenguaje utilizado al momento de redactar la ley penal, cuáles son las conductas incriminatorias específicas y cuáles son los bienes jurídicos afectados.
Por lo tanto, como la práctica del DOXING no está regulada en nuestro Código Penal de la Nación como delito, ni como contravención en el Código Contravencional de la Ciudad Autónoma de Buenos Aires, la misma resulta atípica y no puede ser calificada como tipo penal.
De hecho, cuando se menciona el tema al “doxing” suele denominárselo como un tipo de “ciberacoso”.
Sin embargo, en nuestro sistema penal el ciberacoso se circunscribe en el tipo penal de grooming, que es el acoso sexual que realiza una persona adulta a un niño, niña o adolescente por medio de Internet o de un teléfono celular, incorporado en el artículo 131 del Código Penal, luego de la promulgación de la Ley 26.904 del año 2013.
De hecho, resulta menester recordar que, en el año 2018, se presentó el anteproyecto integral del Código Penal de la Nación, mediante el Decreto PEN 103/17, el cual no logro tener tratamiento en el parlamento, pero introducía figuras penales bajo el concepto de “Delitos Informáticos”, tales como: Atentado mediante técnicas de manipulación de sistemas informáticos (artículo 491); sustitución de identidad (artículo 492); publicación abusiva de imágenes con contenido sexual o “pornovenganza” (artículo 492); daño informático grave mediante ciberataque (artículo 496); obstaculización o interrupción del normal funcionamiento de un sistema informático (artículo 497); hurto de información o apoderamiento de bienes intangibles (artículo 499); y accesos ilegítimos agravados (artículo 502).
Como vemos, ni el último proyecto contiene la figura del DOXING como tipo penal, sin embargo, como hemos indicado suele ser utilizado para cometer de forma paralela otros delitos y/o contravenciones.
5-Principio de legalidad y prohibición de la aplicación por analogía
En el acápite anterior hemos indicado que la función garantizadora de cualquier tipo penal se deriva del principio de legalidad.
La Constitución Nacional se presenta como el marco normativo insoslayable, regulador y limitador de ese sistema de control social conocido como sistema penal.
El fundamento del principio de legalidad en el castigo de una conducta sólo puede ser mediante una ley en sentido formal sancionada según el procedimiento, la competencia y el contenido limitado que regula nuestra Constitución Nacional, que esté vigente al momento de la comisión del hecho y que prevea como delictiva la conducta reprochada.
Se trata de una garantía sustantiva que delimita el poder punitivo del Estado en todo su alcance, ya que exige que el hecho perseguido penalmente esté contemplado como delito, previamente por una ley.
En nuestro país, se encuentra inmerso de manera expresa como garantía del debido proceso penal en el art. 18 de la propia Constitución Nacional, “(…) ningún habitante de la Nación puede ser penado sin juicio previo fundado en ley anterior al hecho del proceso (…)”.
Por lo tanto, ello no sólo afirma que la conducta de compilar y revelar datos personales de un usuario en línea es atípica, sino que además dentro de nuestro derecho penal argentino, está prohibida la aplicación de analogía como fuente de conocimiento.
Por cuanto, como la práctica del “doxing” no se encuentra contemplada concretamente en la ley criminal, no podrá aplicársele una norma ni pena que castigue un hecho similar.
A modo de ejemplo, si a una persona le atribuyen el tipo penal de amenazas coactivas y cometidas mediante la compilación de datos personales en línea (DOXING), al no encontrarse regulada en un tipo penal, no podría (ni debería) aplicarse por analogía la pena de amenazas al que realiza tal recopilación de información, por la falta de encuadre jurídico y a su vez se configuraría la vulneración del mencionado principio penal de legalidad.
Recordemos, sólo en casos excepcionales podrá aplicarse la analogía cuando sea en beneficio o a favor del reo; como consecuencia de ello, si hipotéticamente la intención del juzgador es la aplicación de analogía en detrimento o perjuicio del imputado en un caso concreto, se produciría la violación de prohibición de analogía in malam partem que rige en el derecho criminal.
Es por eso, que los operadores judiciales están obligados a considerar sólo como delitos a aquellos comportamientos que fueron determinados previamente como tales por el legislador y en ese orden de ideas, deben limitarse estrictamente a lo prescripto por la ley penal y observar de manera rigurosa la conducta de la persona incriminada con el tipo penal de la norma que se trate, evitando incurrir en la penalización de actos no punibles por el ordenamiento jurídico.
6-Conclusión
Como abogados litigantes, somos conscientes de que nos enfrentamos a un mundo infinito como es la tecnología y sus avances, no sólo en el aspecto social, sino también en el mundo jurídico.
Entendemos, que debe de realizarse y actualizarse la norma penal respecto de los nuevos delitos informáticos que estamos viviendo en esta era posmoderna, dado que la regulación en materia de figuras que emplean sistemas informáticos y tecnologías digitales resulta escasa e insuficiente.
En este sentido, consideramos que la práctica de compilar y revelar en la web información de datos personales sin el consentimiento de la persona configura una conducta atípica, dado que no se subsume en ninguna norma penal.
Más allá de su falta de regulación legal, el “doxing” tiene su propia autonomía, particularidades, y matices requieren de su tipificación penal, sobre todo, porque su práctica da lugar a comisión no sólo a la realización de otros actos de ingeniería social como la suplantación de identidad, sino también facilita la comisión de diversos delitos y contravenciones como amenazas, hostigamiento, violación de comunicaciones electrónicas, defraudación informática, etcétera.
No obstante, esta conducta podría ser adecuada como un perjuicio dentro del derecho civil privado a fin de que se intente una reparación integral del daño ocasionado, utilizándose la acción resarcitoria como una vía alternativa para que esta conducta atípica no quede en la impunidad.
Por ello, es que insistimos que con el avance de la tecnología y las nuevas metodologías delictivas, el DOXING debe ser regulado normativamente, con aquellos elementos que lo integren y permitan evacuar cualquier tipo de duda respecto a su legalidad, sobre todo, porque actualmente es la base de nuevos y diversos actos comisivos.
Si desea participar de nuestra «Sección Doctrina», contáctenos aquí >>
