The UN must engender greater consensus and collaboration if it wishes to respond effectively to the challenge of cybercrime. 

One of the earliest references to criminals taking advantage of the vulnerabilities inherent in networked computers can be traced back to the 1960s, when an expert from research organization RAND Corporation forecast that people would find ways to compromise, corrupt or steal data that computers were sharing. Policymakers were warned of the vulnerabilities in the technologies of the day, which were ‘unable to provide a secure system in an open environment’. These warnings turned out to be accurate.

Fast-forward almost five decades: computerized networks have been privatized and have gone global. Yet despite efforts to improve security in the intervening years, the vulnerabilities in the technologies persist, and at a scale unimaginable even just a decade ago. Anyone with a computer and a connection can steal stuff or scam online. Computer-dependent crime (or cybercrime) has become a lucrative business. Those who are technologically savvy are able not only to steal a lot of stuff, but also create a lot of disruption in the process.

According to the World Economic Forum, the cost of cybercrime to the global economy (in 2016) was estimated at $445 billion a year. Calculating the cost of cybercrime is not easy, and it is likely that this figure is an overestimate. However, even, say, a third of that figure would still amount to a significant sum in terms of its global impact.

Numerous entities – corporations, governments, multilateral organizations, specialized tech and law-enforcement bodies and financial organizations – are developing responses to cybercrime. Many of these efforts are informed by the ever-growing body of literature produced by academia and think tanks. Meanwhile, we spend billions trying to make tech products and services safer and more secure, yet the imbalance between those efforts and the pace of technological innovation is still significant. The potential for criminals to use Internet of Things-related vulnerabilities to cause harm is a case in point.

Current UN approaches to cybercrime

The UN’s normative bodies have been discussing computer-dependent crime since the term ‘information highway’ was coined back in the 1990s. The issue gradually made its way into the deliberations of the UN General Assembly, where discussions have focused on establishing a normative base to respond to computer-related crime and cybercrime. The World Summit on the Information Society Forum has also focused on the issue. These processes have been fitful, though, to say the least.

Tackling cybercrime requires much cross-border cooperation, including exchanges of information and intelligence. For this to happen, there must be trust between states, and between national institutions and industry actors. The question of a global convention to enable such cooperation and information exchange was discussed at the 12th UN Congress of the Commission on Crime Prevention and Criminal Justice (CCPCJ) in 2010. However, the congress revealed limited consensus among states on the most appropriate instrument to facilitate such cooperation. On the one hand, a number of states advocated ‘globalizing’ the existing Council of Europe Convention on Cyber Crime (also known as the Budapest Convention), which criminalizes certain forms of behaviour for individuals and includes norms for cooperation on law enforcement. This convention is seen as the most comprehensive instrument in place, has the highest number of states parties (53 to date), and is open for signature to non-members of the Council of Europe. However, some analysts have noted the difficulty of scaling up its procedural and cooperation commitments to a global level, as well as the comparatively high standards agreed upon in a European context, while others suggest it is becoming outdated. Many also agree it has become outdated in light of more recent technological developments, including the shift to Cloud computing, which creates additional challenges for law enforcement and cross-border access to data essential for criminal investigations. This latter concern is, however, being addressed through ongoing efforts to develop a new protocol to the convention that would enhance international cooperation on cybercrime and electronic evidence.

Meanwhile, other states, including the Russian Federation, the BRICS members and many other developing countries, have objected to signing a convention whose drafting they were not involved in, and to some provisions relating to cross-border access to data – to which they object on procedural and substantive grounds. Instead they have called, unsuccessfully to date, for the negotiation of a new instrument under the auspices of the UN.

The impasse at the 2010 CCPCJ resulted in a General Assembly resolution establishing an open-ended intergovernmental expert group to study the problem of cybercrime and international responses to it. The group has held four sessions to date, with the first resulting in a draft Comprehensive Study on Cybercrime produced by the UN Office on Drugs and Crime (UNODC) and the International Telecommunication Union (ITU). The comprehensive study provides a reference framework for member states on a number of issues relating to trends, legislation, law enforcement and investigations, electronic evidence and criminal justice, international cooperation and the role of the private sector. It has also served as a framework for the UNODC’s Global Programme on Cybercrime, established in 2013 to support member states in preventing and combating cybercrime ‘through crime prevention and criminal justice technical support’.

The reports from the second and third sessions of the CCPCJ expert group nonetheless reveal persisting disagreements among states on several fronts, including around cooperation between states, cross-border access to data and capacity constraints. Even though the number of states ratifying the Budapest Convention continues to grow, some continue to push for a new instrument.

Finding a way forward

Although the expert group remains a legitimate channel for dialogue among member states, growing tensions on a number of issues – some of them ICT-related, others not – mean that agreement on the issue within the UN is becoming harder to achieve. The UNODC (a UN System lead on cybercrime) is restricted by its mandate to providing a neutral platform for the CCPCJ expert group, and cannot itself develop an informed position on the best way forward. At the same time, it does engage with member states on the cybercrime-related challenges they face, helping identify entry points for law-enforcement cooperation and collaboration, and providing legal, technical and capacity-building assistance. But these efforts should be strengthened. In addition, the UNODC’s cybercrime repository could prove an important tool for comparative case law and for studying emerging precedent regarding the prosecution of cyber-dependent crime – if, that is, member states and other key stakeholders allocate the resources needed to strengthen and sustain the tool.

Some of these efforts are implemented in cooperation with other agencies, such as the ITU, which, in line with the World Summit on the Information Society Forum’s Tunis Agenda, provides legislative and technical support to member states.

The UN may be but one actor in the response to cybercrime, and a relatively small one at that, but every effort is important in responding to the challenges at hand and those looming on the horizon. One area where the UN may well be able to contribute more effectively is in placing greater emphasis on the links between ICT, crime and development, and working across sectors to identify the risks that can delay achievement of the global commitments laid down in the 2030 Sustainable Development Goals. This should include a focus on the other (linked) worrisome challenge: cyber-enabled crime, which has received much less attention than cyber-dependent crime, despite the detrimental societal effects it also produces.

Strengthening the links between ICT, crime and development will also require greater investment in capacity building and technical assistance, so as to build greater resilience against criminal behaviour. It will require making much stronger links at international and national levels between cybersecurity capacity building and technical assistance on the one hand, and the digital transformation agenda and existing governance challenges on the other. And it will require closer collaboration between member states and other key stakeholders to identify and prioritize areas where such efforts are most urgently required. The UN, in partnership with others (or vice versa), has the potential to promote or facilitate such an approach.

Finally, the UN secretary general, too, might prioritize these issues as he moves to strengthen the UN System’s response to the risks posed by existing and emerging technologies. To this end, he could promote greater focus on the crosscutting dimensions of cyber-enabled and cyber-dependent crime as they relate to the core pillars of the UN’s work (i.e. international security, development and human rights), tethering these efforts to the organization’s core values and principles. He can also promote and facilitate greater relations between UN System entities and other actors – specialized law-enforcement agencies, private-sector actors, technical associations, civil society and academia – that are key to shaping and implementing policy and operational responses in this area.

This is, admittedly, no easy task, especially if cooperation between and support from member states (both political and financial) is not forthcoming. But it is certainly one that could contribute to meeting the SDGs.

Un empujón para solucionar el delito informático

La ONU debe generar mayor consenso y colaboración si desea responder efectivamente a los retos que plantea la ciberdelincuencia.

Ya en la década de 1960, un experto de la organización de investigaciones RAND Corporation predijo que las personas encontrarían formas de comprometer, corromper y robar datos compartidos entre las computadoras, capitalizando las vulnerabilidades inherentes de los ordenadores en red. Los formuladores de políticas fueron alertados en aquel entonces que las tecnologías eran “incapaces de ofrecer un sistema seguro en un ambiente abierto”. Estas advertencias terminaron siendo ciertas.

Avancemos casi cinco décadas: las redes computarizadas han sido privatizadas y se han globalizado. Pero a pesar de los esfuerzos en mejorar la seguridad, las vulnerabilidades persisten y a una escala inimaginable incluso hace una década. Cualquiera con una computadora y una conexión puede robar datos o elementos digitales o cometer algún fraude. La ciberdelincuencia (o los delitos informáticos) se ha transformado en un negocio redituable. Los que son entendidos en la esfera tecnológica, pueden no sólo robar, sino también provocar varias alteraciones en el proceso.

De acuerdo con cifras del Foro Económico Mundial, el costo del ciberdelito en la economía mundial en 2016 se estimó en $445 billones anuales. Hacer el cálculo del costo no es tarea sencilla y es probable que esta cifra este inflada. No obstante, incluso un tercio de esa cifra seguiría siendo una suma significativa en términos de impacto global.

Numerosas entidades – empresas, gobiernos, organizaciones multilaterales, organismos especializados en tecnología y aplicación de la ley, y organizaciones financieras – están desarrollando respuestas contra el ciberdelito. Muchos de estos esfuerzos son informados por un volumen creciente de publicaciones producidas por académicos y think-tanks. Entretanto, gastamos billones intentando fabricar productos y servicios tecnológicos más seguros, aunque el desequilibrio entre estos esfuerzos y el ritmo de la innovación tecnológica sigue siendo grande – la probabilidad de que los delincuentes exploten las vulnerabilidades del “internet de las cosas” es un ejemplo de ello.

Las estrategias actuales de la ONU en materia de ciberdelincuencia

Los órganos normativos de la ONU han estado debatiendo la problemática de la ciberdelincuencia desde que se acuñó el término “autopista de la información” en la década de 1990. El asunto ingresó rápidamente a las deliberaciones de la Asamblea General de la ONU, en donde las discusiones se han centrado en establecer una base narrativa para responder a los ciberdelitos. El Foro de la Cumbre Mundial sobre la Sociedad de la Información también ha hecho foco sobre esta cuestión. Sin embargo, dichos procesos han sido, cuanto menos, intermitentes.

Abordar el ciberdelito exige mucho más que una cooperación transfronteriza, incluyendo el intercambio de información e inteligencia. Para hacerlo, debe existir confianza entre los Estados y entre las instituciones nacionales y los actores industriales. La posibilidad de una convención que permita este tipo de cooperación e intercambio de información fue planteada en el 12º Congreso de la ONU sobre Prevención del Delito y Justicia Penal  (CCPCJ) en 2010. Sin embargo, el congreso reveló el limitado consenso entre los Estados sobre cuál puede ser el instrumento más apropiado para facilitar dicha cooperación. Por otro lado, algunos Estados defendieron la idea de “globalizar” el Convenio existente sobre Ciberdelincuencia del Consejo de Europa (también conocido como el Convenio de Budapest), el cual penaliza ciertas formas de comportamiento e incluye normas para la cooperación en la aplicación de la ley. Este convenio es considerado como el instrumento más amplio en la materia, está suscrito por el mayor número de Estados Parte (53 a la fecha), y está abierto a suscripción a países que no forman parte del Consejo de Europa. No obstante, algunos analistas han señalado la dificultad de escalar sus compromisos procesales y de cooperación a un nivel global, como también los estándares comparativamente altos acordados en un contexto europeo, mientras que otros sugieren que se está volviendo obsoleto. Son muchos los que coinciden con que se ha vuelto obsoleto a la luz de los más recientes desarrollos tecnológicos, incluyendo el cambio al cloud computing – o computación en la nube -, el cual genera retos adicionales para la aplicación de la ley y el acceso transfronterizo a información esencial para investigaciones penales. Sin embargo, esta última está siendo abordada mediante constantes esfuerzos en desarrollar un nuevo protocolo para la convención que mejore la cooperación internacional en materia de ciberdelincuencia y evidencia electrónica.

Mientras tanto, otros Estados, incluidos Rusia, los miembros del BRICS y muchos otros países en desarrollo, se han negado a suscribir un convenio de cuyo borrador no fueron parte, y han objetado algunas disposiciones relativas al acceso transfronterizo a datos – a las cuales se oponen por razones procesales y sustantivas. En cambio, han llamado a la negociación de un nuevo instrumento bajo el marco de la ONU – hasta la fecha, sin éxito.

El punto muerto al que se llegó en el CCPCJ de 2010 dio lugar a una resolución de la Asamblea General que establece un grupo intergubernamental de expertos indefinido para estudiar el problema de la ciberdelincuencia y las respuestas internacionales que pueden desarrollarse. A la fecha, el grupo ha mantenido cuatro sesiones. En la primera, se elaboró un borrador de un Estudio Exhaustivo sobre el Delito Cibernético producido por la Oficina de la ONU contra la Droga y el Delito (UNODC) y la Unión Internacional de Telecomunicaciones (UIT). Este estudio exhaustivo ofrece un marco de referencia para los Estados miembro sobre una serie de asuntos relacionados con tendencias, legislaciones, aplicación de la ley e investigaciones, elementos probatorios electrónicos y justicia penal, cooperación internacional, y el rol del sector privado. También ha servido como un marco para el Programa Mundial contra el Delito Cibernético de la UNODC, establecido en 2013 en miras a apoyar a los Estados miembro en la prevención y el combate de los ciberdelitos mediante la prevención y el apoyo técnico a la justicia penal.

Los informes de la segunda y tercera sesión del grupo de expertos del CCPCJ revelan, sin embargo, los constantes desacuerdos entre los Estados en diferentes frentes, incluyendo en la cooperación entre los Estados, el acceso transfronterizo a datos, y los límites en las capacidades. Más allá de que el número de Estados que ratifica el Convenio de Budapest continúa creciendo, algunos países siguen exigiendo un nuevo instrumento.

Buscando la forma de avanzar

Pese a que el grupo de expertos sigue siendo el canal de diálogo legítimo entre los Estados miembro, las crecientes tensiones en una serie de asuntos – algunos relacionados con las TICs, otras no – implican que el consenso para que el tema se trate dentro del marco de la ONU es cada vez menos visible. La UNODC (un convenio líder del Sistema de la ONU en ciberdelincuencia) está restringida por su mandato a brindar una plataforma neutral para el grupo de expertos del CCPCJ, y no puede por sí misma desarrollar una posición informada sobre la mejor manera de avanzar. Sin embargo, trabaja con los Estados Miembros en desafíos relacionados con ciberdelitos ayudándolos a identificar puntos de acceso para la cooperación y colaboración con organismos de seguridad, y proporcionando asistencia legal, técnica y de construcción de capacidad. Pero es preciso fortalecer estos esfuerzos. Además, la base de datos de la UNODC podría resultar ser una herramienta importante para ser utilizada en el estudio comparativo de la jurisprudencia y los precedentes recientes relacionados con el enjuiciamiento de este tipo de delitos – si es que los Estados miembro y otros interesados importantes destinan los recursos necesarios para robustecer y sostener esta herramienta.

Algunos de estos esfuerzos son implementados en conjunto con otras agencias, como la UIT, la cual, en línea con la agenda de Túnez para la Sociedad de la Información, ofrece apoyo legislativo y técnico a los Estados miembro.

La ONU es sólo uno de los actores que pueden dar respuesta a la ciberdelincuencia, y es relativamente pequeño en este sentido, pero cada esfuerzo que se hace es importante de cara a los retos actuales y a los que asoman por el horizonte. La ONU bien podría contribuir de manera más efectiva haciendo énfasis sobre los vínculos entre las TIC, la delincuencia y el desarrollo, y trabajando en varios sectores en miras a identificar los riesgos que pueden dilatar el logro de los compromisos mundiales asumidos en la Agenda de 2030. Esto debería incluir un enfoque sobre otro desafío preocupante (y relacionado): los delitos facilitados por los sistemas informáticos, que han recibido mucha menos atención que los ciberdelitos, a pesar de los efectos sociales perjudiciales que también producen.

Fortalecer el vínculo entre las TIC, el delito y el desarrollo también exigirá mayor inversión en la creación de capacidad y asistencia técnica a los efectos de desarrollar mayor resiliencia contra el delito. Requerirá del fortalecimiento de de los lazos a nivel nacional e internacional entre la creación de capacidad en materia de seguridad cibernética por un lado y, por el otro, entre agenda de transformación digital y los desafíos existentes en materia de gobernanza. Además, precisará de una colaboración más cercana entre los Estados miembro y otras partes interesadas clave en miras a identificar y priorizar áreas en donde estos esfuerzos son requeridos con mayor urgencia. La ONU, en asociación con otros organismos (o vice versa), tiene el potencial de promover o facilitar tal iniciativa.

Por último, también el secretario general de la ONU podría elevar la prioridad de estos asuntos conforme intenta robustecer la respuesta del Sistema de la ONU a los riesgos que plantean las tecnologías existentes y las emergentes. Con este fin, podría fomentar un enfoque más profundo en las dimensiones transversales de la ciberdelincuencia y los delitos facilitados por sistemas informáticos, puesto que están relacionados con los pilares centrales de la labor de la ONU (esto es, seguridad internacional, desarrollo y derechos humanos). Además, podría promover y facilitar mayores vínculos ente los órganos del Sistema de la ONU y otros actores – agencias de seguridad especializadas, actores del sector privado, asociaciones técnicas, la sociedad civil y la esfera académica, que son cruciales para dar forma e implementar políticas y respuestas operativas.

Hay que admitir que esta no es una tarea sencilla, especialmente si no existe cooperación y asistencia (tanto política como financiera) entre los Estados miembro. Sin embargo, sin dudas contribuiría a alcanzar los Objetivos de Desarrollo Sostenible.