Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Con esta guía pretendemos sacar a la luz cuáles son los principales problemas y
peligros que existen en el uso de las Nuevas Tecnologías, especialmente en
Internet y darles una visión jurídica.
La cuestión de la denominada eConfianza es
básica para lograr la plena implantación de las
TIC en la sociedad actual. Para ello, es
necesario el conocimiento y formación
respecto a los delitos más habituales en el
entorno informático, ya que mediante ésta
será mucho más sencillo lograr la confianza
plena de la sociedad en el uso de las Nuevas
Tecnologías (en adelante NN.TT).
Si bien el elemento técnico es esencial, hay que tener en cuenta que una gran parte
de la e-Confianza viene dada por el elemento jurídico o legal. Ambos mecanismos son
esenciales y pilares básicos para lograr la generación de confianza en la Red.
Por una parte, actividades ilícitas que utilizan medios informáticos para poder ser
llevadas a cabo. En este grupo incluiremos el phishing, el pharming o el scaming.
2
¿Qué es el Phishing?
El phishing es una estafa llevada a cabo mediante técnicas de ingeniería social en las
que el estafador, o phisher, intenta conseguir información confidencial
(contraseñas, datos bancarios, etc) de forma fraudulenta.
Como primera medida, en caso de que sospechemos haber sido víctimas de phishing,
se lo comunicaremos a la entidad financiera correspondiente.
3
A continuación se muestra un caso real de Phishing: (Diciembre de 2006)
“Estimado cliente,
Posiblemente Usted notó que la semana pasada nuestro sitio www.xxxx.es funcionaba
inestable y se observaban frecuentes intermitencias.
No obstante se han detectado en los últimos meses casos en los que incluso la página
Web falsa disponía de certificado SSL para generar mayor confusión en el visitante.
4
¿Qué hacer en caso de recibir un
correo electrónico con apariencia de
Phishing?
En el caso de que reciba un correo electrónico teóricamente enviado por su entidad
bancaria y que no sea de su plena confianza, debería sospechar y actuar según las
siguientes pautas:
equipo.
¿Qué es el Pharming1 ?
Es una práctica delictiva en la que el estafador desvía el tráfico de Internet,
manipulando las direcciones DNS 2 (Domain Name Server) que utiliza el usuario.
1
Para más información recomendamos visiten www.inteco.es
2
Los servidores DNS son los encargados de conducir a los usuarios a la página que desean ver,
“traduciendo” la dirección original del sitio Web.
5
Desde el punto de vista jurídico, el pharming es similar al phishing, pues ambos actos
son constitutivos del tipo penal de estafa dispuesto en el art. 248 de la Ley Orgánica
10/1995 del Código Penal, que establece que “Quienes con ánimo de lucro, utilizaren
un engaño suficiente, que induce al afectado a realizar un acto en perjuicio propio o
ajeno serán reos de estafa”.
No obstante, el pharming resulta aún mas peligroso que el phishing, puesto que el
usuario no es consciente de estar siendo redireccionado a una Web falsa, ni se
requiere de una posición activa por su parte, como en el caso del phishing.
3
Para más información recomendamos la lectura de www.belt.es
6
Existen diferentes conceptos respecto a qué puede interpretarse como
“manipulación informática o artificio semejante”.
se trata de la “…incorrecta
Partiendo del concepto indicado en el punto b), es de tener en cuenta que pierde
cierta importancia por el hecho de que la manipulación informática pueda no
suponer una probabilidad real de causar daño al patrimonio del tercero. Sin esta
posibilidad factible y probable de causar daño patrimonial, la actividad típica
pierde su carga delictiva, no así la intencionalidad y enjuiciamiento en grado de
tentativa.
4
ROMEO CASABONA, C. M. "Delitos informáticos de carácter patrimonial". I y D n.º 9, 10, 11. UNED,
Mérida, 1996, pág. 417.
5
GÓMEZ PERALS, M. En "Los delitos informáticos en el Derecho español". En IyD n. 4. Ed. Aranzadi.
Mérida 1994, pág. 492.
7
fuese adecuada para determinar una transferencia patrimonial real, efectiva y no
consentida6 .”
6
Galán Muñoz. EL FRAUDE Y LA ESTAFA MEDIANTE SISTEMAS INFORMÁTICOS. Análisis del artículo
248.2 CP. Titulo Epígrafe: b.2) Transferencia no consentida y comisión por omisión en la estafa
informática. Publicado en Tirant Online, Doctrina.
7
Tipo particular de Prestador de Servicios de Certificación que se encarga de verificar y legitimar ante los
terceros (usuarios) la identidad de un usuario y su clave pública. La intervención de una autoridad de
certificación supone la intervención de un tercero de confianza que garantiza la identidad de un sitio web,
un emisor de correo electrónico…etc. Concepto de Autoridad de Certificación Wikipedia.
8
a. Disponer de un antivirus (gratuito o de pago) completamente actualizado y
activado.
b. No instalar en el equipo software que haya sido descargado de sitios Web que
consideremos no seguros o descargados de software P2P 8.
8
P2P: “Peer to Peer”. Mediante este sistema, formado por nodos y servidores no fijos que se comportan
simultáneamente como clientes/proveedores de información, se logra una capacidad de transferencia de
información muy elevada, ya que todas las partes actúan como servidores proveedores desde el mismo
momento que disponen del archivo en cuestión.
9
En las últimas versiones de Internet Explorer (v.7.0) y Firefox (v.2.0.2), se incorporan de serie
herramientas de detección de sitios Web fraudulentos, que avisan al usuario antes de permitir el acceso a
los mismos, respecto a la seguridad del sitio Web y respecto a los intentos de acceso fraudulento o
descarga no autorizada de software maligno al equipo.
9
Además, en el caso del cracking, se destruyen, causan daños o cambios en la
información, así como la inhabilitación de los soportes físicos tales como servidores,
discos duros, etc 10 .
e. Controlar los accesos físicos a nuestro equipo, ya que una gran parte de las
vulnerabilidades informáticas provienen de una falta de seguridad a nivel físico.
f. Disponer de protección desde el punto de vista lógico, mediante usuarios y
contraseñas para nuestro sistema, routers, etc. A la hora de establecer una
contraseña debemos tener en cuenta la “robustez” de la misma, atendiendo a las
siguientes recomendaciones 12 :
10
En el preámbulo del proyecto de ley, aparece expresamente la denominación “hacker”. Se modifica el
artículo 197. 3 del Código Penal, que en lo sucesivo quedará redactado así: "El que por cualquier medio o
procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, accediera sin
autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo,
será castigado con pena de prisión de seis meses a dos años." Del mismo modo, se incluyen en los
artículos 261 y 310 bis lo relativo a la destrucción de archivos informáticos y el diseño de aplicaciones con
el fin de defraudar a acreedores o a la Hacienda Pública
11
Centro de Alerta Temprana Antivirus de INTECO:
http://www.inteco.es/frontinteco/es/rss.do?action=viewCategory&categoryName=CATA+Ciudadanos&id=6
498
12
Información recabada de "The Simplest Security: A Guide To Better Password Practices", guía básica
de seguridad informática.
10
¿Cuáles son las implicaciones jurídicas
del Hacking y el Cracking?
A continuación procedemos a realizar un breve análisis jurídico del art. 197, apartado
primero del Código Penal:
El bien jurídico protegido en el art. 197.1 del Código Penal según el Tribunal Supremo
lo conforma “no tanto el derecho de propiedad sobre la carta o papel, como el secreto
de la correspondencia u otros papeles (se aplica a los documentos electrónicos),
secreto que constituye una de las necesidades más vitales de la libertad individual o
una parcela importante de las humanas libertades” (STS de 8 de marzo de 1974).
Respecto a los sujetos que intervienen en esta relación hay que tener en cuenta que el
sujeto activo no requiere de ninguna cualidad especial para ser reo de este delito,
mientras que el sujeto pasivo es aquella persona a la que ha sido violada su intimidad.
La acción típica de este delito requiere que el autor lleve a cabo un acto físico dirigido
a obtener los datos considerados confidenciales o secretos. Por ello, requerimos de
la utilización premeditada de artificios técnicos, con la única finalidad de lograr
conocer información confidencial, aprovechándose de la negligencia de un tercero o
semejantes.(SAP de Alicante, de 22 de marzo de 1999)
A continuación procedemos a realizar un breve análisis jurídico del art. 197, apartado
segundo del Código Penal, para lo que nos basaremos en lo anteriormente dicho
respecto al art. 197.1
Del mismo modo, los sujetos participes vuelven a ser de nuevo el actor, que no
requiere de ninguna cualidad especial para poder llevar a cabo la acción típica y por
otro lado, el sujeto
pasivo, que en este caso se trata del titular de los ficheros en los que se encuentran
los “datos reservados de carácter personal o familiar” .
Por último, la acción típica en este caso requiere del “apoderamiento, acceso,
modificación o alteración de datos reservados de carácter personal o familiar”.
11
En un primer lugar es necesario delimitar qué se entiende por datos reservados de
carácter personal o familiar, ya que indudablemente se trata de un ámbito más
restringido que el protegido por la normativa de protección de datos de carácter
personal, Ley Orgánica 15/1999.
El legislador prevé una pena superior para aquellos casos en los que el daño se
realizaba sobre datos, información o sistemas informáticos (elementos lógicos y no
físicos) ya que entiende que el bien jurídico protegido es mucho más amplio que la
mera propiedad de dicha información, previendo los graves daños económicos que
puede causar la pérdida o destrucción de este tipo de acciones.
Respecto a los sujetos participantes no parece que haya que destacar nada relevante,
ya que no muestran ninguna particularidad concreta a la hora de llevar a cabo la
acción típica.
Por último, la acción típica puede ser llevada a cabo destruyendo, alterando,
inutilizando o en su caso dañando de cualquier otro modo, de forma total o parcial los
equipos informáticos (art. 263) y los datos, información y sistemas informáticos. (art.
264.2)
13
Art. 3. b) de la Ley Orgánica de Protección de Datos, 15/1999, todo conjunto organizado de datos de
carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento,
organización y acceso.
12
En caso de que la destrucción o inutilización conlleve la desaparición física y a la
vez lógica de la información, no se aplicará un concurso real de delitos, sino que en
virtud del principio de especialidad, se aplicará el delito establecido en el art. 264.2
del CP.
Ahora bien, este tipo penal no es de aplicación en los casos en los que se instale un
virus o semejante que no destruya, altere o inutilice los datos, programas o
documentos electrónicos al que hace referencia el tipo penal, y que exclusivamente
cause al usuario incomodidad o retraso a la hora de utilizar el equipo.
Ejemplos de este tipo serían, como bien señalan los profesores Orts Berenguer y Roig
Torres en su artículo “Delitos informáticos y delitos comunes cometidos a través de la
informática” publicado en TirantOnline.com, los «ataques DOS» (Ataques de
Denegación de Servicio), que conllevan el bloqueo y la “caída” del servidor informático,
provocando así la inoperatividad del mismo, pero sin llegar a destruir o alterar el
servidor en cuestión, objeto sobre el que recae el ataque.
Especial relevancia otorga el Código Penal en el art. 265 a aquellos casos en los que
los daños, destrucción, inutilización (aún temporal) sean provocados, de forma grave
“sobre establecimientos o instalaciones militares, buques de guerra, aeronaves
militares, medios de transporte o transmisión militar, material de guerra,
aprovisionamiento u otros medios o recursos afectados al servicio de las Fuerzas
Armadas o de las Fuerzas y Cuerpos de Seguridad, será castigado con la pena de
prisión de dos a cuatro años si el daño causado excediere de 300 ”.
Por otro lado, ambas acciones típicas pueden llegar a suponer un delito relativo al
mercado y los consumidores. Últimamente el tipo penal previsto en el art. 255 del
Código Penal está siendo aplicado con frecuencia, ya que la utilización de dispositivos
hardware o software para lograr defraudar o aprovecharse de las líneas de
telecomunicaciones, gas, agua o electricidad propiedad de terceros cada vez se
encuentra más extendida.
En el caso que nos ocupa, los delincuentes frecuentemente llevan a cabo el acceso a
redes inalámbricas y phishing de direcciones IP (uso de direcciones IP de otros
usuarios) para cometer delitos contra terceros sin utilizar su propia IP y evitar, de esta
forma, el poder ser detectados 14.
Como puede observarse, existe un gran abanico de delitos que podrían ser
considerados “delitos informáticos” por la intervención de las nuevas tecnologías para
su comisión. No obstante, este listado de delitos va ampliándose constantemente,
debido al constante cambio del sector de las TIC.
14
Art. 255 CP. “Será castigado con la pena de multa de tres a 12 meses el que cometiere defraudación
por valor superior a 400 euros, utilizando energía eléctrica, gas, agua, telecomunicaciones u otro
elemento, energía o fluido ajenos: a. Valiéndose de mecanismos instalados para realizar la
defraudación…. b. Empleando cualesquiera otros medios clandestinos.
13
¿Qué podemos considerar “Malware”?
b. No aceptar ningún archivo adjunto que provenga de una dirección que no sea
conocida o no nos brinde confianza, ya sea mediante correo electrónico o sistemas
de mensajería instantánea.
15
Para mantenerse actualizado respecto a virus y amenazas de seguridad, recomendamos visitar con
frecuencia http://www.inteco.es
14
¿Qué podemos considerar “Virus” y
qué “Gusano"?
Este tipo de programas tienen en común la capacidad para auto-replicarse. Pueden
“contaminar” con copias de sí mismos el equipo en el que fueron depositados, así
como reenviarse a otros equipos vía correo electrónico o mediante software de
mensajería instantánea.
Los gusanos guardan cierto parecido a los virus, sin embargo éstos no dependen de
archivos portadores, sino que se multiplican por sí mismos. Así, los gusanos se
propagan sin la intervención del usuario, distribuyendo copias completas de sí mismo
por la Red.
Este tipo de software, una vez logra acceder a nuestro sistema, toma el control de las
herramientas para transferir archivos o información (gestores de correo electrónico,
mensajería instantánea, etc.) con el fin de lograr la máxima propagación posible a
través de la Red.
Los caballos de troya no tienen capacidad para replicarse por sí mismos. Ahora bien,
el principal peligro es que son capaces de alojarse en equipos y permitir el acceso a
usuarios externos sin autorización, mediante el uso de “puertas traseras” que dan
acceso en muchos casos al equipo completo, permitiendo recabar información o
controlar remotamente la máquina anfitriona, pero sin afectar al funcionamiento de
ésta y sin que el usuario se de cuenta de ello.
15
Mediante este tipo de herramientas un tercero no autorizado podría acceder a nuestro
equipo y utilizarlo plenamente como si estuviera frente al teclado, esto incluye hacer
capturas de pantalla, descargarse archivos del ordenador de la víctima, ver, manipular,
copiar, añadir o borrar archivos del ordenador de la víctima, activar su webcam o
manejar el ratón, entre otras muchas finalidades .
Hay que resaltar como el legislador español, con fecha de 15 de enero de 2007, ha
publicado el Anteproyecto de Ley Orgánica por la que se modifica la Ley Orgánica
10/1995 (Código Penal. Lo destacable desde el punto de vista aquí analizado, es que
el legislador ha entrado a regular expresamente las acciones de los hackers,
cumpliendo así con lo dispuesto en la Decisión Marco 2005/222/JAI del Consejo de la
Unión Europea de 24 de febrero de 2005, relativa a los ataques contra los sistemas de
información.
Esta modificación hace que se añada al artículo 197 un nuevo apartado que castiga a
“el que por cualquier medio o procedimiento y vulnerando las medidas de seguridad
establecidas para impedirlo, accediera sin autorización a datos o programas
informáticos contenidos en un sistema informático o en parte del mismo, será
castigado con la pena de prisión de seis meses a dos años” (art. 197.3 del Proyecto
de reforma).
16
Debemos destacar la gran versatilidad a la hora de programar este tipo de programas.
Esto provoca que dependiendo de la finalidad con la que se hayan programado, los
delitos cometidos puedan ser unos u otros, debiendo atender a las circunstancias
concretas de cada caso.
Telf: 91 514 64 00
POLICIA NACIONAL
La Policía Nacional dispone de la Unidad de Investigación de la Delincuencia en
Tecnologías de la Información, que se encuentra operativa las 24 horas del día.
En esta unidad se persiguen e investiga, por personal altamente cualificado, los delitos
cometidos mediante el uso de las nuevas Tecnologías de la Información
ERTZAINTZA
Al igual que las Fuerzas y Cuerpos de Seguridad del Estado, la Comunidad Autónoma
del País Vasco, ha creado un grupo especializado en "delincuencia informática",
denominado Sección Central de Delitos en Tecnologías de la Información, (SCDTI).
17
Se puede contactar con ellos a través de:
Web: www.ertzaintza.net
e-Mail: delitosinformaticos@utap.ej-gv.es
MOSSOS D´ ESQUADRA
Al igual que las Fuerzas y Cuerpos de Seguridad del Estado, la Comunidad Autónoma
de Cataluña, ha creado un grupo especializado en delitos telemáticos dedicados a la
persecución de este tipo de delitos a través de la Red.
Conclusiones Generales
El uso de Internet o del comercio electrónico no resulta más peligroso que cualquiera
de las actividades que llevamos a cabo en nuestra vida real.
Nos conviene:
a. Ser conscientes de que existen peligros y delincuentes que pretenden lucrarse con
sus actividades.
c. Desconfiar de sitios Web en los que se solicitan datos bancarios sin disponer de
certificados de seguridad del sitio Web.
d. Estar informados de los peligros existentes y de cuáles son los más activos en
cada momento ya que, al igual que en la vida real, los delincuentes y sus medios
se renuevan continuamente.
e. Mantener activados y actualizados los principales medios para evitar todos estos
problemas. Los principales son:
18