Plumas NCC | El derecho internacional frente a desafío del daño invisible en los cibercrímenes

Por: Mtro. Rodolfo Guerrero Martínez (México).

El ciberespacio se ha consolidado como un dominio donde las interacciones y los conflictos generan consecuencias que, si bien son profundas, resultan a menudo invisibles o intangibles para los marcos legales tradicionales. La premisa del daño invisible en los cibercrímenes se refiere a las afectaciones no cinéticas o no físicas, como la pérdida de funcionalidad de infraestructuras críticas, el perjuicio psicológico, o la manipulación y eliminación de datos esenciales.

Este tipo de daño plantea un desafío fundamental para el derecho penal internacional, ya que la gravedad del crimen, elemento crucial para la jurisdicción y la admisibilidad de los casos, se vuelve notoriamente difícil de medir.

Consecuentemente, la suficiencia de los estatutos existentes está bajo escrutinio, puesto que los crímenes internacionales como el genocidio, los crímenes de lesa humanidad o los crímenes de guerra pueden ser perpetrados o facilitados por medios cibernéticos.

Sin embargo, para que estos actos sean admisibles ante tribunales internacionales, deben alcanzar un umbral de gravedad, evaluado por factores como la escala, la naturaleza y el impacto en las víctimas. La discusión académica incluso ha considerado si un ataque cibernético que resulta en la pérdida de funcionalidad o incapacitación, sin destrucción física, podría alcanzar el nivel de manifestación de violación requerido para un crimen de agresión.

 

1.-El convenio de Budapest y la armonización

Ante la naturaleza transfronteriza y las consecuencias geográficamente ilimitadas de la conducta criminal en línea, la Convención de Budapest sobre Ciberdelincuencia (ETS No. 185), abierta a la firma en 2001, se estableció como el primer tratado internacional enfocado explícitamente en el cibercrimen. En efecto, este instrumento se diseñó con el propósito principal de armonizar las leyes penales sustantivas nacionales (tipificando crímenes como el acceso ilegal, la interferencia de datos o la interceptación ilegal), establecer poderes procesales adecuados, y promover la cooperación internacional.

A pesar de su enfoque en delitos cyber-dependent (que solo son posibles mediante computadoras), la Convención aborda la investigación de e-evidencia para cualquier delito. Por ello, se centra en mecanismos procesales que buscan mitigar la volatilidad intrínseca de la evidencia digital.

Así pues, entre sus contribuciones más significativas a la cooperación figuran:

(I) Tipificación mínima. Obliga a las Partes a criminalizar conductas específicas como el daño, la supresión o la alteración intencional de datos informáticos sin derecho (interferencia de datos), o el entorpecimiento grave del funcionamiento de un sistema informático (interferencia del sistema).

(II) Mecanismos de asistencia rápida. Requiere el establecimiento de una Red 24/7 (Art. 35) para garantizar la asistencia inmediata en las investigaciones.

(III) Preservación expedita. Demanda la adopción de medidas para la preservación expedita de datos almacenados y de datos de tráfico (Art. 16 y 17), un poder crucial, ya que los datos se eliminan o manipulan fácilmente.

 

2.-Desafíos en la investigación de ciberdelitos y el uso de métodos intrusivos

La investigación y el enjuiciamiento de ciberdelitos son notoriamente complejos, en primer lugar, la ubicuidad de los sistemas digitales implica que la evidencia electrónica es ahora relevante y crítica para casi todos los crímenes, lo que transforma virtualmente todo delito en cibercrimen. No obstante, esta evidencia a menudo reside en la nube, en servidores controlados por empresas privadas en jurisdicciones extranjeras, lo que plantea enormes obstáculos jurisdiccionales.

Además, el anonimato y el cifrado (encryption) utilizados por los criminales hacen que la atribución sea un reto formidable. Por consiguiente, los investigadores deben reconstruir pistas digitales a veces efímeras para identificar a la persona humana detrás de la máquina, un requisito esencial para alcanzar la prueba de culpabilidad. La dificultad de probar la intención (mens rea) se agrava por el uso de tecnologías sofisticadas.

Ahora bien, ¿cuál es el uso de métodos intrusivos en investigaciones? Para contrarrestar estos retos que comprende dicha interrogante, el derecho internacional, particularmente a través de la Convención de Budapest, faculta a los Estados a implementar poderes procesales intrusivos (a menudo comparados con el hackeo).

Por ejemplo, la Convención exige la adopción de leyes nacionales para la recolección en tiempo real de datos de tráfico (Art. 20) y la intercepción de datos de contenido (Art. 21). Estas medidas, al igual que la orden de producción de datos (Art. 18) y el registro y la incautación de datos almacenados (Art. 19), son altamente invasivas de la privacidad.

A este respecto, la Convención subraya la necesidad de cumplir con condiciones y salvaguardas (Art. 15). De modo crucial, estas deben incorporar el principio de proporcionalidad, exigiendo que la interferencia con los derechos humanos (como la privacidad y la libertad de expresión) sea minimizada y que se utilicen los medios menos intrusivos posibles. En particular, se requiere que los sistemas legales garanticen que, bajo órdenes judiciales, las entidades cubiertas brinden información o datos en un formato inteligible, lo que aborda la dificultad de la policía para obtener información debido al cifrado.

 

3.-La convención de la ONU y el desafío Jurisdiccional

En contraposición al Convenio de Budapest, la Convención de la ONU contra el Cibercrimen, adoptada en diciembre de 2024, nació de un proceso más amplio y contencioso. Si bien busca fortalecer la cooperación internacional, la asistencia técnica y la creación de capacidad, su alcance difiere significativamente:

1) Terminología amplia. Utiliza términos más amplios como sistemas de tecnología de la información y las comunicaciones (TIC) en lugar de sistemas informáticos, y datos electrónicos en lugar de «datos informáticos».

2) Enfoque en crímenes graves. Limita el alcance de su cooperación internacional a crímenes graves, definidos como aquellos punibles con una privación máxima de libertad de al menos cuatro años. No obstante, otras cláusulas de la Convención amplían la referencia a «cualquier delito penal», lo que genera preocupación sobre el alcance de su aplicación.

Empero, la principal fuente de debate y el mayor riesgo de desplazamiento jurisdiccional (jurisdictional creep) reside en la inclusión de la jurisdicción de personalidad pasiva (PPJ). Este principio permite a un Estado ejercer jurisdicción sobre un delito cometido en el extranjero si la víctima es nacional de ese Estado.

Por lo tanto, la PPJ, combinada con la vaguedad de ciertas tipificaciones delictivas de la Convención de la ONU (como el amplio delito de fraude informático que incluye una cláusula de engaño), podría permitir a los Estados aplicar su ley penal de forma extraterritorial a la conducta de nacionales extranjeros, incluso cuando esa conducta tenga poco efecto en el Estado que reclama jurisdicción.

Este riesgo de expansión se considera innecesario en el contexto cibernético, donde otros principios jurisdiccionales (como los efectos o la protección) podrían ser más apropiados.

 

Conclusión general

El derecho internacional se enfrenta al imperativo de adaptar sus conceptos de daño y gravedad a una realidad donde los efectos son a menudo invisibles, psicológicos o funcionales (como la eliminación de datos médicos de civiles). En consecuencia, el marco legal se encuentra en un estado de dualidad y tensión.

Si bien el Convenio de Budapest proporciona un modelo fundacional sólido enfocado en la armonización y mecanismos de cooperación rápida (incluyendo la Red 24/7 y la preservación expedita de datos), la presión geopolítica ha generado instrumentos alternativos como la Convención de la ONU, la cual, a pesar de su ambición por una cooperación global más amplia, conlleva el riesgo de abuso jurisdiccional a través de la PPJ.

En síntesis, el desafío fundamental en la lucha contra el cibercrimen radica en encontrar un equilibrio práctico que permita a las autoridades investigar delitos complejos utilizando técnicas intrusivas (como la interceptación de datos), al mismo tiempo que se respeta rigurosamente el principio de proporcionalidad y los derechos fundamentales, salvaguardando así la legalidad y la confianza ciudadana.

El camino por seguir requiere el fortalecimiento de la capacidad técnica de los sistemas de justicia penal y la colaboración con el sector privado, mientras que se promueve una interpretación y aplicación de los tratados que evite la fragmentación legal y la instrumentalización política de la jurisdicción.

 

Fuentes de consulta

ARTICLE 19. (2022). The Council of Europe Convention on Cybercrime and the First and Second Additional Protocol (Briefing).

Berris, P. G. (2023). Cybercrime and the Law: Primer on the Computer Fraud and Abuse Act and Related Statutes (CRS Report No. R47557). Congressional Research Service, Library of Congress.

Cornell Law School, Legal Information Institute. 18 U.S. Code § 1030 – Fraud and related activity in connection with computers.

Council of Europe. (2001). Convention on Cybercrime (European Treaty Series No. 185).

Council of Europe. (2001). Explanatory Report to the Convention on Cybercrime (European Treaty Series No. 185).

International Criminal Court, Office of the Prosecutor. (2025). Draft Policy on Cyber-Enabled Crimes under the Rome Statute (Draft Policy).

Kazakova, A., Teleanu, S., Kovač, B., & Hamza, F. (2024). Comparative analysis: the Budapest Convention vs the UN Convention Against Cybercrime. Digital Watch Observatory.

Organization for Security and Co-operation in Europe (OSCE). (2023). Ensuring Human Rights Compliance in Cybercrime Investigations: OSCE Training Guide for Criminal Justice Practitioners. OSCE Secretariat Transnational Threats Department Strategic Police Matters Unit.

 

***

Ro­dol­fo Gue­rre­ro es abo­ga­do por la Be­ne­mé­ri­ta Uni­ver­si­dad de Gua­da­la­ja­ra y maes­tro en de­re­cho con orien­ta­ción en ma­te­ria Cons­ti­tu­cio­nal y ad­mi­nis­tra­ti­vo por la mis­ma casa de es­tu­dios. Es So­cio Fun­da­dor y Re­pre­sen­tan­te Le­gal de la So­cie­dad Ci­vil Cof­fee Law “Dr. Jor­ge Fer­nán­dez Ruiz”. So­cio fun­da­dor de la Aca­de­mia Me­xi­ca­na de De­re­cho “Juan Ve­lás­quez” A.C. Ti­tu­lar de la Co­mi­sión de Le­gal­tech del Ilus­tre y Na­cio­nal Co­le­gio de Abo­ga­dos de Mé­xi­co A.C. Ca­pí­tu­lo Oc­ci­den­te. Vi­ce­pre­si­den­te de la Aca­de­mia Me­xi­ca­na de De­re­cho In­for­má­ti­co, Ca­pí­tu­lo Ja­lis­co.