Extracto:
La progresiva digitalización de la actividad económica, los servicios públicos y la interacción social ha transformado profundamente el entorno en el que opera la delincuencia grave y organizada. La conducta delictiva se desarrolla cada vez más en línea, apoyándose en infraestructuras digitales y explotando los enormes volúmenes de datos generados y almacenados en las sociedades contemporáneas. Como resultado, la ciberdelincuencia ha evolucionado de un conjunto de delitos tecnológicamente impulsados a un fenómeno criminal estructurado, transnacional y orientado al mercado.
Las evaluaciones recientes en Europa subrayan que los datos personales y corporativos han pasado al centro de este ecosistema, ya no como objetivos incidentales, sino como el recurso principal que permite la actividad delictiva. Este cambio se reconoce explícitamente en el análisis europeo más reciente, que afirma que “los datos constituyen la mercancía central de la economía del cibercrimen: buscados, robados, comprados y explotados por una amplia variedad de delincuentes”.
Desde una perspectiva penal, esta evolución es significativa. Los marcos legales continúan estando ampliamente anclados en modelos basados en delitos, centrados en el daño directo, las víctimas identificables y las cadenas lineales de causalidad. Por el contrario, la ciberdelincuencia basada en datos se caracteriza por la fragmentación, la delegación y la reutilización reiterada de recursos obtenidos ilícitamente, desafiando las suposiciones tradicionales sobre atribución y responsabilidad.
Los datos más allá del delito: objeto, instrumento y mercancía
Los datos desempeñan un papel multifuncional en la ciberdelincuencia contemporánea. En primer lugar, son frecuentemente el objeto directo de ataques delictivos. Operaciones de ransomware, violaciones masivas de seguridad e intrusiones orientadas al espionaje buscan la adquisición no autorizada de información que posteriormente puede monetizarse, utilizarse para extorsión o explotarse estratégicamente.
En segundo lugar, los datos personales funcionan como medio para la comisión de otros delitos. Las credenciales robadas y los identificadores personales permiten fraude, toma de control de cuentas, suplantación de identidad y técnicas de ingeniería social. Esta utilización instrumental de los datos ha sido reconocida internacionalmente como un rasgo estructural de la delincuencia cibernética.
Lo más significativo es que los datos se han convertido en una mercancía por derecho propio. Los mercados ilícitos comercian con credenciales, acceso a sistemas comprometidos y registros personales, a menudo a través de plataformas cifradas y foros solo por invitación. Estos mercados forman la columna vertebral de una economía delictiva basada en servicios, caracterizada por la subcontratación, la eficiencia y la distribución de riesgos. Desde el punto de vista legal, la circulación de datos ilícitos genera un daño acumulativo y sistémico que se extiende mucho más allá del acto inicial de acceso no autorizado.
Especialización, subcontratación y responsabilidad fragmentada
Uno de los rasgos definitorios del panorama actual de la ciberdelincuencia es la especialización funcional. Los delincuentes operan cada vez más dentro de cadenas de suministro conectadas de manera laxa, en lugar de grupos estables e integrados verticalmente. Los intermediarios de acceso inicial (“initial access brokers”) constituyen un claro ejemplo de este modelo: su función consiste en obtener y vender acceso a sistemas comprometidos, que luego son explotados por otros actores para el despliegue de ransomware, fraude o robo de datos.
Esta separación entre la obtención de acceso y su explotación aumenta la eficiencia criminal, pero también complica la atribución de responsabilidad. Los actores que operan en etapas previas pueden estar temporal y geográficamente alejados del delito final, pese a que su contribución es indispensable. El análisis europeo de ciberseguridad describe esta estructura como un ecosistema “crime-as-a-service” maduro, en el que los roles criminales reflejan cada vez más los mercados digitales legítimos.
Los conceptos tradicionales de participación y complicidad tienen dificultades para captar esta realidad. Cuando la responsabilidad depende de la proximidad al acto final, facilitadores como los intermediarios de acceso y los comerciantes de datos corren el riesgo de quedar fuera del alcance de la responsabilidad penal, a pesar de su papel central en la generación de daño.
Obtención de acceso: explotación de la vulnerabilidad humana
Aunque las vulnerabilidades técnicas siguen siendo relevantes, el comportamiento humano se ha convertido en la principal puerta de entrada para la actividad cibercriminal. Las técnicas de ingeniería social, incluido el phishing y el vishing, explotan la confianza, la autoridad y la rutina, más que los fallos del código.
Esta dinámica se ha intensificado con el uso de inteligencia artificial generativa. Las herramientas automatizadas permiten a los delincuentes personalizar la comunicación engañosa a gran escala, aumentando las tasas de éxito y reduciendo las barreras de entrada. Los análisis europeos destacan que la adopción de grandes modelos de lenguaje “ha mejorado la eficacia de las técnicas de ingeniería social mediante la personalización de la comunicación con las víctimas y la automatización de procesos delictivos”.
Desde la perspectiva del derecho penal, la automatización del engaño dificulta la valoración del dolo y de la previsibilidad del daño. Cuando la conducta dañina se mediatiza a través de sistemas tecnológicos, el vínculo tradicional entre la decisión individual y el resultado se atenúa progresivamente.
Inteligencia artificial y expansión de la capacidad delictiva
Más allá de la ingeniería social, la inteligencia artificial respalda la falsificación de identidad, la suplantación de voz y la selección automatizada de víctimas. La investigación sobre el uso malicioso de la IA confirma que estas tecnologías actúan como multiplicadores de fuerza, permitiendo a los actores individuales escalar la actividad cibercriminal con velocidad y alcance sin precedentes.
Esta expansión de la capacidad delictiva tiene implicaciones directas para la aplicación de la ley. Los modelos de investigación y enjuiciamiento centrados en casos discretos y perpetradores identificables enfrentan dificultades para responder a delitos caracterizados por rapidez, volumen y dispersión transnacional. El derecho penal, tradicionalmente reactivo, encuentra obstáculos al abordar sistemas diseñados para la comisión continua y adaptativa de delitos.
Respuestas del derecho penal y cooperación internacional
La estructura transnacional de los mercados de datos evidencia las limitaciones de los sistemas jurídicos territoriales. Delincuentes, infraestructura, víctimas y pruebas suelen encontrarse dispersos entre jurisdicciones, generando lagunas de ejecución que no pueden subsanarse únicamente con derecho nacional. Las autoridades europeas enfatizan, por ello, la importancia de la cooperación basada en inteligencia y de estrategias coordinadas de interrupción.
La investigación internacional también ha subrayado la necesidad de centrarse en conductas preparatorias y facilitadoras. La Oficina de Naciones Unidas contra la Droga y el Delito ha observado que la ciberdelincuencia suele consistir en actos interconectados más que en delitos aislados, requiriendo marcos legales capaces de abordar la facilitación y la contribución basada en mercados al daño.
Conclusión
El panorama contemporáneo de la ciberdelincuencia refleja una transformación estructural de la delincuencia organizada. Los datos personales ya no son un mero objeto de protección, sino el respaldo económico de un ecosistema criminal basado en la reutilización, la subcontratación y la escala. El robo, la circulación y la explotación reiterada de datos generan un ciclo auto-reforzante en el que el acceso inicial produce oportunidades delictivas continuas.
Esta realidad plantea desafíos fundamentales al derecho penal. Los conceptos desarrollados para delitos lineales y territorialmente acotados tienen dificultades para abarcar un daño acumulativo, distribuido y mediado por mercados digitales. Los facilitadores en etapas previas —intermediarios de acceso, comerciantes de datos y proveedores de servicios— generan riesgos sistémicos, pese a permanecer formalmente alejados del delito final.
Como observa Europol, “el acceso a la cuenta o sistema de la víctima es la parte crítica de la mayoría de las cadenas de ataque de la ciberdelincuencia”. Reconocer esta centralidad requiere recalibrar el enfoque legal hacia la conducta facilitadora y la contribución estructural al daño.
En última instancia, abordar la mercantilización de los datos no es solo una cuestión de política de ciberseguridad, sino una prueba de la capacidad del derecho penal para adaptarse a las economías digitales, preservando los principios fundamentales de legalidad, proporcionalidad y responsabilidad individual.
Una versión de este artículo ha sido publicada en la página web de la International Bar Association y está disponible en: https://www.ibanet.org/The-commodification-of-personal-data
