Guas Legales

LA RESPUESTA JURDICA FRENTE A

LOS ATAQUES CONTRA LA SEGURIDAD
DE LA INFORMACIN
OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIN
rea J urdica de la Seguridad y las TIC
2
Aspectos Generales
Con esta gua pretendemos sacar a la luz cules son los principales probl emas y
peli gros que exi sten en el uso de l as Nuevas Tecnol ogas, especialmente en
Internet y darles una visin jurdica.
La cuestin de la denominada eConfi anza es
bsica para lograr la plena implantacin de las
TIC en la sociedad actual. Para ello, es
necesario el conocimiento y formacin
respecto a los delitos ms habituales en el
entorno informtico, ya que mediante sta
ser mucho ms sencillo lograr la confianza
plena de la sociedad en el uso de las Nuevas
Tecnologas (en adelante NN.TT).
Si bien el elemento tcnico es esencial, hay que tener en cuenta que una gran parte
de la e-Confianza viene dada por el elemento jurdico o legal. Ambos mecanismos son
esenciales y pilares bsicos para lograr la generacin de confianza en la Red.
El uso de herramientas informticas ha dotado de nuevos medios a los tradicionales
delincuentes, que llevan a cabo los delitos de siempre, mediante instrumentos
diferentes.
La seguri dad j urdica en el sector informtico se ve amenazada por dos frentes
principalmente.
Por una parte, actividades ilcitas que utilizan medios informticos para poder ser
llevadas a cabo. En este grupo incluiremos el phishing, el pharming o el scaming.
Por otra parte, encontramos toda una serie de
aplicaciones, que mediante la instalacin en el equipo
Seguridad y
informtico, puede acarrear graves problemas de
eConfianza
seguridad y estabilidad en el sistema del usuario.
Entre ellos, cabe destacar: virus, troyanos, gusanos,
son pilares
etc. Este tipo de aplicaciones se denomina
bsicos del
genricamente malware o cdigo malicioso"
comercio
Esta gua legal ofrece una visin general de lo que
implica la seguridad informtica y la e-confianza en
electrnico. Internet. En todo caso, se recomienda la lectura
detenida de las sucesivas guas especficas sobre
cada uno de los delitos informticos presentados en
esta gua.
A continuacin se lleva a cabo un breve anlisis respecto a dos de las principales
figuras delictivas en el marco electrnico, ambas relativas al fraude informtico.
Qu es el Phishing?
El phishing es una estafa llevada a cabo mediante tcnicas de ingeniera social en las
que el estafador, o phisher, i ntenta consegui r i nformaci n confi dencial
(contraseas, datos bancarios, etc) de forma fraudulenta.
El estafador o phi sher suplanta la personalidad de una persona o empresa de
confianza. El objetivo de esta accin es que el receptor de una comunicacin
electrnica aparentemente legtima (va correo electrnico, fax, sms o
telefnicamente), confe en la veracidad de sta y facilite datos privados de acceso a
cuentas bancarias, o en su caso, cuentas de correo, servidores, etc.
Dicha comunicacin electrnica supone una modalidad muy peligrosa de spam
(comunicacin comercial no deseada) que no solamente satura nuestro correo
electrnico y servidores, sino que resulta un autentico peligro para la integridad y
confidencialidad de los datos privados del receptor.
Los medios que utiliza el phisher son muy diversos.
Normalmente, utiliza el envo de correos el ectrni cos
fraudul entos a cli entes de entidades financieras o de
naturaleza semejante (eBay, PayPal, etc.), as como
correos fraudulentos que contienen troyanos.
Estos programas logran el control absoluto del equipo en el
que son instalados, logrando obtener claves de acceso y
datos bancarios directamente desde un equipo.
Otra variante consiste en que el phisher que logra que
l a vcti ma
apari enci a
visite una
exactamente
pgi na web fal sa con
igual al sitio web legtimo,
El Phishing
provoca que el usuario navegue sin dudar de la
seguridad de la misma.
ltimamente, se han detectado nuevas modalidades de
phishing que vienen enmascaradas como ofertas de
puede ser
constitutivo de
un delito de
trabajo muy beneficiosas, solicitud de donaciones a
ONGs falsas, etc. Estos correos tienen la clara
estafa.
finalidad de captar l os datos personal es de l os
usuari os, especialmente los datos bancari os.
Cmo evitar ser vctima del phishing ?
Como primera medida, en caso de que sospechemos haber sido vctimas de phishing,
se lo comunicaremos a la entidad financiera correspondiente.
Las entidades financieras no suelen hacerse responsables de este tipo de estafas, ya
que en la mayor parte de los casos se ha debido a una falta de diligencia por parte del
usuario, que ha facilitado sus datos de acceso a un desconocido que se lo solicitaba a
travs de la Red.
3
A continuacin se muestra un caso real de Phishing: (Diciembre de 2006)
Estimado cliente,
Es muy importante y obligatorio a leer!
Posiblemente Usted not que la semana pasada nuestro sitio www.xxxx.es funcionaba
inestable y se observaban frecuentes intermitencias.
Hemos renovado nuestras instalaciones bancarias y ahora el problema est resuelto.
Pero para activar un sistema nuevo de proteccin de los datos y una capacidad de
trabajo correcta de sus cuentas bancarias, le pedimos a Usted introducir los detalles
completos de la cuenta para que podamos renovar nuestra base de los clientes y
comprobar la capacidad de trabajo de nuestro nuevo sistema de proteccin de los
datos.
Si Usted no activa su cuenta bancaria, no va a tener las posibilidades
complementarias de la defensa de seguridad en su cuenta.
La mejor manera de defendernos de estos ataques es conociendo los medios que
utilizan los autores, usar el sentido comn y ayudarnos de una serie de tcnicas de
deteccin que garantizarn que no caeremos en esta modalidad de estafa electrnica.
Cmo saber que un e-mail es un caso
de Phishing?
Lo primero que debe tenerse en cuenta es que las entidades bancarias cuentan con
todos sus datos, y nunca le van a solicitar va correo electrnico la actualizacin de los
mismos.
Si recibe un correo electrnico en nombre de su entidad bancaria con este contenido,
debe actuar con precauci n, y tener en cuenta que estos correos estn diseados
para provocar la confusin en el usuario sobre su origen, de forma que el cliente confe
que el correo electrnico proviene realmente de su entidad bancaria.
Estas comunicaciones electrnicas fraudulentas incluyen, entre otras, las siguientes
notas comunes:
a. Logotipos o fotografas, que intentan dar un aspecto de pgi na corporati va.
b. En muchas ocasiones el l enguaj e es i ncorrecto o hay errores ti pogrfi cos,
debido a que suelen utilizarse traductores automticos para realizar el envo a
diferentes Estados.
c. Suele introducirse un enlace a l a pgi na web que simula exactamente la pgina
segura de nuestra entidad o servicio de Internet, donde el usuario debe introducir
sus claves de acceso. Esa pgina normalmente no es segura, es decir no se trata
de una pgina certi fi cada medi ante SSL.
No obstante se han detectado en los ltimos meses casos en los que incluso la pgina
Web falsa dispona de certificado SSL para generar mayor confusin en el visitante.
4
Qu hacer en caso de recibir un
correo electrnico con apariencia de
Phishing?
En el caso de que reciba un correo electrnico tericamente enviado por su entidad
bancaria y que no sea de su plena confianza, debera sospechar y actuar segn las
siguientes pautas:
a. Nunca conteste a un correo electrnico que no le
ofrezca confianza.
No conteste a
b. No borre el correo el ectrni co. Gurdelo en su
ordenador ya que puede ser de utilidad como
correos
prueba en caso de posible procedimiento judicial o
electrnicos
investigacin policial.
cuando dude
c. En ni ngn caso haga cli c en l os posibles enl aces
sobre su
o links que pudiera contener el correo electrnico.
Puede llevarnos a sitios web aparentemente reales,
procedencia.
pero falsos o descargar ficheros malignos en el
equipo.
d. Pngase en contacto con su ofi ci na bancari a, de tal manera que puedan
informar a otros clientes y alertarles sobre la situacin.
e. Pngase en contacto con l os Cuerpos y Fuerzas de Seguri dad del Estado, e
infrmeles de lo ocurrido.
Qu es el Pharming
1
?
Es una prctica delictiva en la que el estafador desva el trfico de Internet,
mani pul ando l as di recci ones DNS
2
(Domain Name Server) que utiliza el usuario.
A travs de esta accin los delincuentes consiguen que las
pginas visitadas no se correspondan con las autnticas,
sino con otras creadas con la nica finalidad e intencin de
recabar los datos personales de la vctima.
Este delito suele cometerse en el mbito bancario, donde
los delincuentes buscan adquirir datos personales para
obtener acceso a cuentas bancarias, robar datos
identificativos o cometer estafas suplantando la identidad
del usuario.
1
Para ms informacin recomendamos visiten www.inteco.es
2
Los servidores DNS son los encargados de conducir a los usuarios a la pgina que desean ver,
traduciendo la direccin original del sitio Web.
5
Desde el punto de vista jurdico, el pharming es similar al phishing, pues ambos actos
son constitutivos del tipo penal de estafa dispuesto en el art. 248 de l a Ley Orgni ca
10/1995 del Cdi go Penal, que establece que Quienes con nimo de lucro, utilizaren
un engao suficiente, que induce al afectado a realizar un acto en perjuicio propio o
ajeno sern reos de estafa.
No obstante, el pharming resulta an mas peligroso que el phishing, puesto que el
usuario no es consciente de estar siendo redireccionado a una Web falsa, ni se
requiere de una posicin activa por su parte, como en el caso del phishing.
Cmo podemos evitar el Pharming
3
?
En caso de detectar cualquier tipo de anomala, diferencia o cualquier cuestin que se
salga fuera de lo normal cuando visitemos el sitio web, le recomendamos:
a. Poner en conoci mi ento del servici o de atencin al cli ente de l a empresa tal
situacin. En este caso recomendamos hacerlo por va telefnica.
b. Disponer en el equipo de herramientas anti virus y fi rewall actuali zados, que
eviten la instalacin de software que nos redireccione a sitios Web falsos. Por otro
lado, el firewall nos permite conocer el trfico que hay, tanto desde el ordenador
hacia Internet, como de Internet al ordenador, detectando los intentos de entrada a
nuestro equipo y el nivel de acceso logrado por ste (el sistema operativo Windows
XP dispone por defecto de un firewall instalado y activado).
c. Di sponer de todas l as actuali zaciones del si stema operati vo que se tenga
instalado, as como del software utilizado en el equipo, especialmente los
navegadores de Internet y programas gestores de correo electrnico.
d. Anti spam: Existen soluciones en el mercado gracias a las cuales nuestras
cuentas de correo electrnico no sern constantemente bombardeadas por correos
electrnicos no deseados.
Cules son las implicaciones jurdicas
del phishing y del pharming?
Los elementos principales del tipo penal son:
a. ni mo de l ucro: El concepto de nimo de lucro en Espaa es entendido como
aquello que busca lograr un beneficio econmico. No se incluyen en este concepto
aquellos que suponga un beneficio indirecto como cualquier ventaja o satisfaccin.
b. Mani pul aci n Informti ca o Arti fi cio semej ante: El mencionado concepto
introducido por el legislador en el art. 248.2 busca establecer un tipo penal con una
accin tpica lo ms genrica posible, buscando claramente que quepa en ella todo
tipo de acciones encaminadas a lograr la estafa.
Para ms informacin recomendamos la lectura de www.belt.es
6
3
Existen diferentes conceptos respecto a qu puede interpretarse como
manipulacin informtica o artificio semejante.
Puede destacarse el concepto de
Romeo Casabona que entiende que
se trata de la incorrecta
Art. 248.2 Cdigo Penal:
modificacin del resultado de un
aquellos que con nimo de
procesamiento automtico de datos,
lucro y valindose de alguna
mediante la alteracin de los datos
manipulacin informtica o
que se introducen o estn ya
artificio semejante, consigan
contenidos en el ordenador en
la transferencia no
cualquiera de sus fases de
consentida de cualquier
procesamiento o tratamiento,
activo patrimonial, en
siempre que sea con nimo de lucro
perjuicio de tercero.
y perjuicio de tercero4 ...
Por otro lado podemos tomar el
concepto acuado por Gomez Perals que defini las manipulaciones informticas
como la ...supresin, borrado u ocultamiento de datos o introduccin de otros
falsos, o bien la alteracin de las instrucciones que constituyen el programa 5 ..."
c. Transferenci a no consenti da: Uno de los pilares bsicos del presente delito es el
hecho de que se lleva a cabo una disposicin patrimonial, sin consentimiento del
titular y por tanto lesivo para el mismo.
Partiendo del concepto indicado en el punto b), es de tener en cuenta que pierde
cierta importancia por el hecho de que la manipulacin informtica pueda no
suponer una probabilidad real de causar dao al patrimonio del tercero. Sin esta
posibilidad factible y probable de causar dao patrimonial, la actividad tpica
pierde su carga delictiva, no as la intencionalidad y enjuiciamiento en grado de
tentativa.
As, La conducta de la estafa informtica no siempre
se caracteriza por la alteracin del funcionamiento del
sistema informtico; y mucho menos del resultado que
Es necesario
se derivara de un proceso de datos, ya que en
el perjuicio
ocasiones la comisin de este delito, ni siquiera
requerir que tales sistemas lleguen a efectuar proceso
patrimonial
de tratamiento alguno con respecto a los datos que
del tercero.
contienen o que se les introducen, limitndose los
mismos a servir de soporte de la representacin o
anotacin de la transferencia producida.
La nica exigencia de ineludible cumplimiento de la conducta realizada sobre un
sistema informtico, para que pudiese ser calificada como constitutiva de una
estafa informtica propiamente dicha, vendr constituida por el hecho de que
ROMEO CASABONA, C. M. "Delitos informticos de carcter patrimonial". I y D n. 9, 10, 11. UNED,
Mrida, 1996, pg. 417.
5
GMEZ PERALS, M. En "Los delitos informticos en el Derecho espaol". En IyD n. 4. Ed. Aranzadi.
Mrida 1994, pg. 492.
7
4
fuese adecuada para determinar una transferencia patrimonial real, efectiva y no
consentida6 .
d. Perj ui ci o patri moni al de tercero: Segn la doctrina mayoritaria, para aplicar el
tipo penal de la estafa informtica es necesario que exista un perjuicio real en el
patrimonio econmico individual7 no bastando con que la accin tpica haya
puesto en peligro el patrimonio econmico de la vctima.
Del mismo modo puede implicar un del i to de descubri mi ento y revel aci n de
secretos del Art. 197 del Cdi go Penal (en adelante CP) ya que las
comunicaciones comerciales de la vctima estn siendo captadas por parte de un
tercero sin autorizacin expresa para ello, logrando as informacin considerada
como informacin confidencial y secreta.
Cmo podemos detectar que un sitio
Web no cumple con los requisitos de
seguridad bsicos?
Debemos dudar siempre de cualquier comunicacin va correo electrnica
solicitndonos datos de carcter personal tales como claves de acceso, nmero de
cuenta, etc.
En este tipo de pginas hay que observar que l a
di recci n web comi ence por https://, apareciendo un
candado en l a parte derecha de nuestra barra del
navegador, o en l a parte i nferi or derecha
(dependiendo del tipo de navegador que se est usando)
inteligible para terceros sin autorizacin.
El certi fi cado de seguri dad nos aporta la siguiente informacin: vigencia y validez del
mismo, verificacin de la empresa titular del mismo, verificacin de la entidad emisora
y el nivel de seguridad que implica.
En caso de que no aparezca esta informacin
recomendamos que no reali ce ni nguna operacin en el
siti o Web, se desconecte del mismo y notifique dicha
situacin a la entidad en cuestin. Como regla general se
recomienda:
6
Galn Muoz. EL FRAUDE Y LA ESTAFA MEDIANTE SISTEMAS INFORMTICOS. Anlisis del artculo
248.2 CP. Titulo Epgrafe: b.2) Transferencia no consentida y comisin por omisin en la estafa
informtica. Publicado en Tirant Online, Doctrina.
Tipo particular de Prestador de Servicios de Certificacin que se encarga de verificar y legitimar ante los
terceros (usuarios) la identidad de un usuario y su clave pblica. La intervencin de una autoridad de
certificacin supone la intervencin de un tercero de confianza que garantiza la identidad de un sitio web,
un emisor de correo electrnicoetc. Concepto de Autoridad de Certificacin Wikipedia.
8
7
a. Disponer de un antivirus (gratuito o de pago) completamente actualizado y
activado.
b. No instalar en el equipo software que haya sido descargado de sitios Web que
consideremos no seguros o descargados de software P2P
8
.
c. Mantener tanto el si stema operativo, como el software utilizado,
completamente actualizado, especialmente en el caso de los navegadores de
Internet y gestores de correo electrnico, los cules suelen ser frecuentemente
vas de ataque de los equipos
9
.
Qu es el Hacking y el Cracking?
El HACKER es aquel sujeto que se vale de la informtica para acceder a un sistema o
una red, navegar por el mismo, comprobar sus vulnerabilidades e informar de las
mismas a los responsables para que las corrijan o en su caso apuntarse un nuevo
logro, pero en ningn caso destruir o modificar la informacin alojada en el sistema.
El estimulo de un hacker no es otro que saciar su curiosidad o superar el reto personal
Reforma del Cdi go Penal publ i cado el da 15 de
Enero de 2007, los hackers pasarn a ser previstos
expresamente en el Cdigo Penal.
Por otro lado el CRACKER, cuya conducta se
caracteriza por acceder a sistemas informticos de
forma no autorizada, del mismo modo que los
hackers (accin tpica en la que coinciden), pero
con una finalidad bien distinta: menoscabar la
integridad, disponibilidad y acceso a la informacin
disponible en dicho sitio Web o en el sistema
informtico.
En ambos casos, y siempre que se lleve a cabo sin
previa autorizacin por parte del titular del sistema,
se est cometiendo un acto delictivo, ya que ambas
actividades violan la intimidad de la vctima y la
confidencialidad de la informacin propiedad del
titular.
de lograr evitar la seguridad del sistema. A pesar de ello, segn el Anteproyecto de
8
P2P: Peer to Peer. Mediante este sistema, formado por nodos y servidores no fijos que se comportan
simultneamente como clientes/proveedores de informacin, se logra una capacidad de transferencia de
informacin muy elevada, ya que todas las partes actan como servidores proveedores desde el mismo
momento que disponen del archivo en cuestin.
9
En las ltimas versiones de Internet Explorer (v.7.0) y Firefox (v.2.0.2), se incorporan de serie
herramientas de deteccin de sitios Web fraudulentos, que avisan al usuario antes de permitir el acceso a
los mismos, respecto a la seguridad del sitio Web y respecto a los intentos de acceso fraudulento o
descarga no autorizada de software maligno al equipo.
9
Adems, en el caso del cracking, se destruyen, causan daos o cambios en la
informacin, as como la inhabilitacin de los soportes fsicos tales como servidores,
discos duros, etc
10
.
Cmo podemos evitar el Hacking y el
Cracking?
Para que nuestro sistema no sea vulnerable a los ataques de hackers y crackers,
resulta necesario:
a. Disponer de un antivirus y firewall (de pago o gratuito) completamente actualizado.
Recomendamos visitar la seccin Web del Centro de Al erta Temprana Anti virus
de INTECO
11
.
b. Contar con el fi rewall del sistema operativo activado.
c. No facilitar a ninguna persona en foros, programas de mensajera instantnea, etc.
claves de acceso al router, o a nuestro equipo.
d. Utilizar software de escaneo del ordenador especfico para deteccin de virus y
software maligno, en especial spyware o puertas traseras y troyanos.
e. Control ar l os accesos fsicos a nuestro equipo, ya que una gran parte de las
vulnerabilidades informticas provienen de una falta de seguridad a nivel fsico.
f. Disponer de protecci n desde el punto de vista l gi co, mediante usuarios y
contraseas para nuestro sistema, routers, etc. A la hora de establecer una
contrasea debemos tener en cuenta la robustez de la misma, atendiendo a las
siguientes recomendaciones
12
:
- Usar maysculas y minsculas.
- Recurrir al uso de tipologa ASCII.
- Como mnimo tener una longitud de 8 elementos.
10
En el prembulo del proyecto de ley, aparece expresamente la denominacin hacker. Se modifica el
artculo 197. 3 del Cdigo Penal, que en lo sucesivo quedar redactado as: "El que por cualquier medio o
procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, accediera sin
autorizacin a datos o programas informticos contenidos en un sistema informtico o en parte del mismo,
ser castigado con pena de prisin de seis meses a dos aos." Del mismo modo, se incluyen en los
artculos 261 y 310 bis lo relativo a la destruccin de archivos informticos y el diseo de aplicaciones con
el fin de defraudar a acreedores o a la Hacienda Pblica
11
Centro de Alerta Temprana Antivirus de INTECO:
http://www.inteco.es/frontinteco/es/rss.do?action=viewCategory&categoryName=CATA+Ciudadanos&id=6
498
12
Informacin recabada de "The Simplest Security: A Guide To Better Password Practices", gua bsica
de seguridad informtica.
10
Cules son las implicaciones jurdicas
del Hacking y el Cracking?
A continuacin procedemos a realizar un breve anlisis jurdico del art. 197, apartado
primero del Cdigo Penal:
El bien jurdico protegido en el art. 197.1 del Cdigo Penal segn el Tribunal Supremo
lo conforma no tanto el derecho de propiedad sobre la carta o papel, como el secreto
de l a correspondenci a u otros papeles (se aplica a los documentos electrnicos),
secreto que constituye una de las necesidades ms vitales de la libertad individual o
una parcela importante de las humanas libertades (STS de 8 de marzo de 1974).
Respecto a los sujetos que intervienen en esta relacin hay que tener en cuenta que el
sujeto activo no requiere de ninguna cualidad especial para ser reo de este delito,
mientras que el sujeto pasivo es aquella persona a la que ha sido violada su intimidad.
Nos planteamos la posibilidad de que en la
informacin sobre la que se ha accedido se
encuentren datos de carcter personal de
terceros.
En este caso l a vcti ma real del deli to no
sera este tercero, sino el ti tul ar de l a
i nformaci n, ocupando el tercero un cargo
de mero perjudicado civil, para cuya
persecucin se requerir la denuncia del
afectado.
La accin tpica de este delito requiere que el autor lleve a cabo un acto fsico dirigido
a obtener los datos considerados confidenciales o secretos. Por ello, requeri mos de
l a uti l i zaci n premedi tada de arti fi cios tcni cos, con la nica finalidad de lograr
conocer informacin confidencial, aprovechndose de la negligencia de un tercero o
semejantes.(SAP de Alicante, de 22 de marzo de 1999)
A continuacin procedemos a realizar un breve anlisis jurdico del art. 197, apartado
segundo del Cdigo Penal, para lo que nos basaremos en lo anteriormente dicho
respecto al art. 197.1
El bien jurdico protegido vuelve a ser de nuevo el secreto de la correspondencia u
otros papeles (se aplica a los documentos electrnicos).
Del mismo modo, los sujetos participes vuelven a ser de nuevo el actor, que no
requiere de ninguna cualidad especial para poder llevar a cabo la accin tpica y por
otro lado, el sujeto
pasivo, que en este caso se trata del titular de los ficheros en los que se encuentran
los datos reservados de carcter personal o familiar .
Por ltimo, la accin tpica en este caso requiere del apoderami ento, acceso,
modi fi caci n o alteraci n de datos reservados de carcter personal o fami l i ar .
11
En un primer lugar es necesario delimitar qu se entiende por datos reservados de
carcter personal o familiar, ya que indudablemente se trata de un mbito ms
restringido que el protegido por la normativa de proteccin de datos de carcter
personal, Ley Orgnica 15/1999.
En palabras del propio Tribunal Supremo,
no todos l os datos reservados de
El dao al patrimonio
carcter personal o famil i ar pueden ser
no tiene porqu
obj eto del del i to contra l a l i bertad
i nformti ca, sino slo aquellos datos reportar beneficio
que el hombre medio de nuestra cultura
econmico al
considera sensibles por ser inherentes a
su intimidad ms estricta, o dicho de otro delincuente o a un
modo, los datos pertenecientes al reducto
tercero para que el
de los que, normalmente, se pretende no
trasciendan fuera de la esfera en que se hecho sea constitutivo
desenvuelve la privacidad de la persona y
de delito.
de su ncleo familiar (STS de 18 de
febrero de 1999).
Este tipo de datos ntimos deben encontrarse registrados, anotados o grabados en un
fichero de carcter informtico o soporte informtico
13
( CD, DVD, Pen Drive, etc)
Dentro de este tipo delictivo nos encontramos con otros tipos agravados que el
legislador ha considerado como hechos de una gravedad superior. Estos son:
El hacker y el cracker, una vez dentro del sistema informtico puede llevar a cabo
diferentes acciones constitutivas de delito. As, los cracker pueden llevan a cabo
acciones tpicas constitutivas del delito de daos, regulado en los art. 263 y ss del CP.
El bi en j urdi co protegi do en este tipo de delitos es el patri moni o, los bienes o
informacin que haya podido verse daada por la accin del delincuente. No es
necesario que ese dao reporte un beneficio econmico al delincuente o a un tercero,
sino que basta con que se haya daado la cosa.
El legislador prev una pena superior para aquellos casos en los que el dao se
realizaba sobre datos, informacin o sistemas informticos (elementos lgicos y no
fsicos) ya que entiende que el bien jurdico protegido es mucho ms amplio que la
mera propiedad de dicha informacin, previendo los graves daos econmicos que
puede causar la prdida o destruccin de este tipo de acciones.
Respecto a los sujetos participantes no parece que haya que destacar nada relevante,
ya que no muestran ninguna particularidad concreta a la hora de llevar a cabo la
accin tpica.
Por ltimo, la accin tpica puede ser llevada a cabo destruyendo, alterando,
inutilizando o en su caso daando de cualquier otro modo, de forma total o parcial los
equipos informticos (art. 263) y los datos, informacin y sistemas informticos. (art.
264.2)
Art. 3. b) de la Ley Orgnica de Proteccin de Datos, 15/1999, todo conjunto organizado de datos de
carcter personal, cualquiera que fuere la forma o modalidad de su creacin, almacenamiento,
organizacin y acceso.
12
13
En caso de que la destrucci n o i nuti l i zacin conl l eve l a desapari cin fsi ca y a l a
vez l gi ca de l a i nformaci n, no se aplicar un concurso real de delitos, sino que en
virtud del principio de especialidad, se aplicar el deli to establ eci do en el art. 264.2
del CP.
La aplicacin de este tipo penal es frecuente cuando en el equipo de un usuario se
instala un virus, troyano, bomba lgica o semejante que provoque cualquiera de las
acciones tpicas indicadas en el tipo penal (destruya, altere, inutilice o en su caso dae
de cualquier modo los datos o la informacin).
Ahora bien, este tipo penal no es de aplicacin en los casos en los que se instale un
virus o semejante que no destruya, altere o inutilice los datos, programas o
documentos electrnicos al que hace referencia el tipo penal, y que exclusivamente
cause al usuario incomodidad o retraso a la hora de utilizar el equipo.
Ejemplos de este tipo seran, como bien sealan los profesores Orts Berenguer y Roig
Torres en su artculo Delitos informticos y delitos comunes cometidos a travs de la
informtica publicado en TirantOnline.com, los ataques DOS (Ataques de
Denegacin de Servicio), que conllevan el bloqueo y la cada del servidor informtico,
provocando as la inoperatividad del mismo, pero sin llegar a destruir o alterar el
servidor en cuestin, objeto sobre el que recae el ataque.
Especial relevancia otorga el Cdigo Penal en el art. 265 a aquellos casos en los que
los daos, destruccin, inutilizacin (an temporal) sean provocados, de forma grave
sobre establecimientos o instalaciones militares, buques de guerra, aeronaves
militares, medios de transporte o transmisin militar, material de guerra,
aprovisionamiento u otros medios o recursos afectados al servicio de las Fuerzas
Armadas o de las Fuerzas y Cuerpos de Seguridad, ser castigado con la pena de
prisin de dos a cuatro aos si el dao causado excediere de 300 .
Por otro lado, ambas acciones tpicas pueden llegar a suponer un delito relati vo al
mercado y l os consumi dores. ltimamente el tipo penal previsto en el art. 255 del
Cdigo Penal est siendo aplicado con frecuencia, ya que la utilizacin de dispositivos
hardware o software para lograr defraudar o aprovecharse de las lneas de
telecomunicaciones, gas, agua o electricidad propiedad de terceros cada vez se
encuentra ms extendida.
En el caso que nos ocupa, los delincuentes frecuentemente llevan a cabo el acceso a
redes inalmbricas y phishing de direcciones IP (uso de direcciones IP de otros
usuarios) para cometer delitos contra terceros sin utilizar su propia IP y evitar, de esta
forma, el poder ser detectados
14
.
Como puede observarse, existe un gran abanico de delitos que podran ser
considerados delitos informticos por la intervencin de las nuevas tecnologas para
su comisin. No obstante, este listado de delitos va amplindose constantemente,
debido al constante cambio del sector de las TIC.
Art. 255 CP. Ser castigado con la pena de multa de tres a 12 meses el que cometiere defraudacin
por valor superior a 400 euros, utilizando energa elctrica, gas, agua, telecomunicaciones u otro
elemento, energa o fluido ajenos: a. Valindose de mecanismos instalados para realizar la
defraudacin. b. Empleando cualesquiera otros medios clandestinos.
13
14
Qu podemos considerar Malware?
Malware puede ser definido como resultado de la agrupacin de las palabras
malicious software o software malicioso.
Los ms comunes son l os virus, gusanos, troyanos y programas de spyware /
adware. Este tipo de programas pueden ser creados para llevar a cabo gran cantidad
de finalidades, tales como recopilar informacin confidencial sobre el usuario, lograr
controlar un equipo en modo remoto o daar e incluso inutilizar por completo un
equipo.
Cmo puedo protegerme del
Malware?
La naturaleza del malware es variada, pero podemos indicar una serie de medidas
bsicas y eficaces para protegerse de estos programas malintencionados. Son los
siguientes:
a. Mantenerse i nformado respecto a la seguridad en Internet y los ltimos casos
existentes de fraude y virus
15
.
b. No aceptar ni ngn archi vo adj unto que provenga de una direccin que no sea
conocida o no nos brinde confianza, ya sea mediante correo electrnico o sistemas
de mensajera instantnea.
c. Tener instalado software anti virus actuali zado. Es muy importante, ya que en
caso contrario este pierde su finalidad, la deteccin del malware.
d. Mantener actuali zado el si stema operati vo. Los sistemas operativos
mayoritarios contienen sistemas de auto-actualizacin, que cierran las posibles
vulnerabilidades y reducen las posibilidades de que el malware entre en nuestro
equipo.
e. Di sponer del fi rewal l del sistema operativo acti vado, salvo en caso de que se
disponga de una herramienta especfica para ello.
f. En caso de que el equipo se bloque constantemente o se reinicie por s slo
recomendamos anali zar el sistema en busca de virus o malware, as como
inspeccionar la lista de procesos activos en el sistema, para detectar posibles
procesos no ejecutados por nosotros. (Revisar la lista de software recomendado)
Para mantenerse actualizado respecto a virus y amenazas de seguridad, recomendamos visitar con
frecuencia http://www.inteco.es
14
15
Qu podemos considerar Virus y
qu Gusano"?
Este tipo de programas tienen en comn la capacidad para auto-repl i carse. Pueden
contaminar con copias de s mismos el equipo en el que fueron depositados, as
como reenviarse a otros equipos va correo electrnico o mediante software de
mensajera instantnea.
La diferencia entre el gusano y el virus
informtico radica en que el gusano opera En la actualidad, los
de forma i ndependi ente a otros archi vos,
virus son el tipo ms
mientras que el virus depende de un
portador para l l egar al equi po y lograr as extendido de
su objetivo, la mayor difusin posible.
malware, debido en
Los virus son pequeos programas
gran parte a la
informticos adjuntos a un portador (un
programa o archivo infectado) que permite
masificacin del uso
que el virus pueda propagarse de un equipo
de la Red de Internet,
a otro, logrando causar daos en software,
hardware y documentos albergados en el
y del correo
equipo.
La capacidad para aadirse a un programa o archivo aparentemente inofensivo, unido
al uso extensivo y masivo del correo electrnico e Internet, han hecho de este tipo de
malware el ms extendido en la actualidad.
Los gusanos guardan cierto parecido a los virus, sin embargo stos no dependen de
archivos portadores, sino que se mul ti pl i can por s mi smos. As, los gusanos se
propagan sin la intervencin del usuario, distribuyendo copias completas de s mismo
por la Red.
Este tipo de software, una vez logra acceder a nuestro sistema, toma el control de las
herramientas para transferir archivos o informacin (gestores de correo electrnico,
mensajera instantnea, etc.) con el fin de lograr la mxima propagacin posible a
travs de la Red.
Qu son los Troyanos?
Un caballo de troya es una pieza de software mali ci oso di sfrazado baj o l a i magen
de software l egti mo.
Los caballos de troya no tienen capacidad para replicarse por s mismos. Ahora bien,
el principal peligro es que son capaces de alojarse en equipos y permitir el acceso a
usuarios externos sin autorizacin, mediante el uso de puertas traseras que dan
acceso en muchos casos al equipo completo, permitiendo recabar informacin o
controlar remotamente la mquina anfitriona, pero sin afectar al funcionamiento de
sta y sin que el usuario se de cuenta de ello.
15
Mediante este tipo de herramientas un tercero no autorizado podra acceder a nuestro
equipo y utilizarlo plenamente como si estuviera frente al teclado, esto incluye hacer
capturas de pantalla, descargarse archivos del ordenador de la vctima, ver, manipular,
copiar, aadir o borrar archivos del ordenador de la vctima, activar su webcam o
manejar el ratn, entre otras muchas finalidades .
Cules son las implicaciones jurdicas
del malware?
Todas las versiones de malware anteriormente indicadas conllevan una serie de
repercusiones jurdicas.
El uso de malware para acceder a un equipo informtico o a la informacin lgica
puede suponer la comisin de un delito de descubrimiento y revelacin de secretos,
penado por el Art.197 del CP y ya comentado en las anteriores pginas.
Siempre que se produzca el acceso, o se conozca la informacin de carcter privado
que se encuentra almacenada en su sistema y que no puede haber sido difundida por
otra persona, estaremos ante la comisin del delito de descubrimiento y revelacin de
secretos.
Hay que resaltar como el legislador espaol, con fecha de 15 de enero de 2007, ha
publicado el Anteproyecto de Ley Orgnica por la que se modifica la Ley Orgnica
10/1995 (Cdigo Penal. Lo destacable desde el punto de vista aqu analizado, es que
el legislador ha entrado a regular expresamente las acciones de los hackers,
cumpliendo as con lo dispuesto en la Decisin Marco 2005/222/J AI del Consejo de la
Unin Europea de 24 de febrero de 2005, relativa a los ataques contra los sistemas de
informacin.
Esta modificacin hace que se aada al artculo 197 un nuevo apartado que castiga a
el que por cualquier medio o procedimiento y vul nerando l as medi das de seguri dad
establecidas para impedirlo, accediera sin autori zacin a datos o programas
i nformti cos contenidos en un sistema informtico o en parte del mismo, ser
castigado con la pena de prisin de seis meses a dos aos (art. 197.3 del Proyecto
de reforma).
Por otro lado, la reforma prev un aumento de pena
para el caso de que dicha actividad delictiva fuera
cometida en el seno de una organizacin criminal.
Por otro lado, cabe destacar la facilidad de que este
tipo de software llegue a provocar daos sobre el
hardware o sobre aplicaciones, incurriendo en tal caso
su autor en un delito de daos tipificado en el Art. 263
y ss del CP que ya ha sido comentado en la pgina 13
del presente documento.
16
Debemos destacar la gran versatilidad a la hora de programar este tipo de programas.
Esto provoca que dependiendo de la finalidad con la que se hayan programado, los
delitos cometidos puedan ser unos u otros, debiendo atender a las circunstancias
concretas de cada caso.
A quin puedo dirigirme en caso ser
vctima de este tipo de delitos?
En caso de ser vctima de cualquiera de estas actividades delictivas y especialmente
en aquellos casos en los que haya exi sti do un dao econmi co para nuestro
patri moni o o se haya vul nerado nuestra i nti mi dad, se debe interponer denuncia
ante las Fuerzas y Cuerpos de Seguridad, as como comunicarlo en su caso al
departamento de delitos telemticos.
Actualmente en Espaa existen varias instituciones con grupos especficos:
GRUPO DE DELITOS TELEMTICOS DE LA GUARDIA
CIVIL
El GDT dispone de personal especializado en la persecucin de los autores de delitos
informticos
Los datos de contacto de este grupo especializado son:
C/Guzmn El Bueno, 110
28003 Madrid (Espaa)
e-mail: delitostelematicos@guardiacivil.org
Telf: 91 514 64 00
POLICIA NACIONAL
La Polica Nacional dispone de la Unidad de Investigacin de la Delincuencia en
Tecnologas de la Informacin, que se encuentra operativa las 24 horas del da.
En esta unidad se persiguen e investiga, por personal altamente cualificado, los delitos
cometidos mediante el uso de las nuevas Tecnologas de la Informacin
Los datos de contacto de esta unidad especializada son:
CENTRO POLICIAL DE CANILLAS
C/J ulin Gonzlez Segador, s/n,
28043 Madrid / e-mail: delitos.tecnologicos@policia.es
Telf: 91 582 27 51 / Telf: 91 582 23 07
ERTZAINTZA
Al igual que las Fuerzas y Cuerpos de Seguridad del Estado, la Comunidad Autnoma
del Pas Vasco, ha creado un grupo especializado en "delincuencia informtica",
denominado Seccin Central de Delitos en Tecnologas de la Informacin, (SCDTI).
17
Se puede contactar con ellos a travs de:
Web: www.ertzaintza.net
e-Mail: delitosinformaticos@utap.ej-gv.es
MOSSOS D ESQUADRA
Al igual que las Fuerzas y Cuerpos de Seguridad del Estado, la Comunidad Autnoma
de Catalua, ha creado un grupo especializado en delitos telemticos dedicados a la
persecucin de este tipo de delitos a travs de la Red.
Conclusiones Generales
El uso de Internet o del comercio electrnico no resulta ms peligroso que cualquiera
de las actividades que llevamos a cabo en nuestra vida real.
Nos convi ene:
a. Ser conscientes de que existen peligros y delincuentes que pretenden lucrarse con
sus actividades.
b. No proporcionar datos de carcter personal, datos de acceso a cuentas bancarias
o de acceso a cuentas de correo.
c. Desconfiar de sitios Web en los que se solicitan datos bancarios sin disponer de
certificados de seguridad del sitio Web.
d. Estar informados de los peligros existentes y de cules son los ms activos en
cada momento ya que, al igual que en la vida real, los delincuentes y sus medios
se renuevan continuamente.
e. Mantener activados y actualizados los principales medios para evitar todos estos
problemas. Los principales son:
- Uso de antivirus activado y actualizado. En el mercado existen una enorme
cantidad de antivirus que se ajustan a las necesidades tanto del usuario
particular como a nivel empresa.
- Uso de Firewall mediante el que podremos controlar el trfico de entrada y
salida de nuestro ordenador.
- Actualizacin constante de nuestro Sistema Operativo y software cotidiano.
18