Guías Legales

LA RESPUESTA JURÍDICA FRENTE A

LOS ATAQUES CONTRA LA SEGURIDAD
DE LA INFORMACIÓN

OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN

Área Jurídica de la Seguridad y las TIC
Aspectos Generales

Con esta guía pretendemos sacar a la luz cuáles son los principales problemas y
peligros que existen en el uso de las Nuevas Tecnologías, especialmente en
Internet y darles una visión jurídica.
La cuestión de la denominada eConfianza es
básica para lograr la plena implantación de las
TIC en la sociedad actual. Para ello, es
necesario el conocimiento y formación
respecto a los delitos más habituales en el
entorno informático, ya que mediante ésta
será mucho más sencillo lograr la confianza
plena de la sociedad en el uso de las Nuevas
Tecnologías (en adelante NN.TT).

Si bien el elemento técnico es esencial, hay que tener en cuenta que una gran parte
de la e-Confianza viene dada por el elemento jurídico o legal. Ambos mecanismos son
esenciales y pilares básicos para lograr la generación de confianza en la Red.

El uso de herramientas informáticas ha dotado de nuevos medios a los tradicionales

delincuentes, que llevan a cabo los delitos de siempre, mediante instrumentos
diferentes.

La seguridad jurídica en el sector informático se ve amenazada por dos frentes

principalmente.

Por una parte, actividades ilícitas que utilizan medios informáticos para poder ser
llevadas a cabo. En este grupo incluiremos el phishing, el pharming o el scaming.

Por otra parte, encontramos toda una serie de

aplicaciones, que mediante la instalación en el equipo
Seguridad y informático, puede acarrear graves problemas de
seguridad y estabilidad en el sistema del usuario.
eConfianza Entre ellos, cabe destacar: virus, troyanos, gusanos,
son pilares etc. Este tipo de aplicaciones se denomina
genéricamente “malware o código malicioso"
básicos del
Esta guía legal ofrece una visión general de lo que
comercio implica la seguridad informática y la e-confianza en
electrónico. Internet. En todo caso, se recomienda la lectura
detenida de las sucesivas guías específicas sobre
cada uno de los delitos informáticos presentados en
esta guía.

A continuación se lleva a cabo un breve análisis respecto a dos de las principales

figuras delictivas en el marco electrónico, ambas relativas al fraude informático.

2
¿Qué es el Phishing?

El phishing es una estafa llevada a cabo mediante técnicas de ingeniería social en las
que el estafador, o phisher, intenta conseguir información confidencial
(contraseñas, datos bancarios, etc) de forma fraudulenta.

El estafador o phisher suplanta la personalidad de una persona o empresa de

confianza. El objetivo de esta acción es que el receptor de una comunicación
electrónica aparentemente legítima (vía correo electrónico, fax, sms o
telefónicamente), confíe en la veracidad de ésta y facilite datos privados de acceso a
cuentas bancarias, o en su caso, cuentas de correo, servidores, etc.
Dicha comunicación electrónica supone una modalidad muy peligrosa de “spam”
(comunicación comercial no deseada) que no solamente satura nuestro correo
electrónico y servidores, sino que resulta un autentico peligro para la integridad y
confidencialidad de los datos privados del receptor.
Los medios que utiliza el phisher son muy diversos.

Normalmente, utiliza el envío de correos electrónicos

fraudulentos a clientes de entidades financieras o de

naturaleza semejante (eBay, PayPal, etc.), así como
correos fraudulentos que contienen troyanos.
Estos programas logran el control absoluto del equipo en el
que son instalados, logrando obtener claves de acceso y
datos bancarios directamente desde un equipo.

Otra variante consiste en que el phisher que logra que

la víctima visite una página web falsa con
apariencia exactamente igual al sitio web legítimo, El Phishing
provoca que el usuario navegue sin dudar de la
seguridad de la misma.
puede ser
Últimamente, se han detectado nuevas modalidades de
constitutivo de
phishing que vienen enmascaradas como ofertas de un delito de
trabajo muy beneficiosas, solicitud de donaciones a
ONG´s falsas, etc. Estos correos tienen la clara
estafa.
finalidad de captar los datos personales de los
usuarios, especialmente los datos bancarios.

¿Cómo evitar ser víctima del phishing ?

Como primera medida, en caso de que sospechemos haber sido víctimas de phishing,
se lo comunicaremos a la entidad financiera correspondiente.

Las entidades financieras no suelen hacerse responsables de este tipo de estafas, ya

que en la mayor parte de los casos se ha debido a una falta de diligencia por parte del
usuario, que ha facilitado sus datos de acceso a un desconocido que se lo solicitaba a
través de la Red.

3
A continuación se muestra un caso real de Phishing: (Diciembre de 2006)

“Estimado cliente,

¡Es muy importante y obligatorio a leer!

Posiblemente Usted notó que la semana pasada nuestro sitio www.xxxx.es funcionaba
inestable y se observaban frecuentes intermitencias.

Hemos renovado nuestras instalaciones bancarias y ahora el problema está resuelto.

Pero para activar un sistema nuevo de protección de los datos y una capacidad de
trabajo correcta de sus cuentas bancarias, le pedimos a Usted introducir los detalles
completos de la cuenta para que podamos renovar nuestra base de los clientes y
comprobar la capacidad de trabajo de nuestro nuevo sistema de protección de los
datos.

Si Usted no activa su cuenta bancaria, no va a tener las posibilidades

complementarias de la defensa de seguridad en su cuenta”.

La mejor manera de defendernos de estos ataques es conociendo los medios que

utilizan los autores, usar el sentido común y ayudarnos de una serie de técnicas de
detección que garantizarán que no caeremos en esta modalidad de estafa electrónica.

¿Cómo saber que un e-mail es un caso

de Phishing?
Lo primero que debe tenerse en cuenta es que las entidades bancarias cuentan con
todos sus datos, y nunca le van a solicitar vía correo electrónico la actualización de los
mismos.

Si recibe un correo electrónico en nombre de su entidad bancaria con este contenido,

debe actuar con precaución, y tener en cuenta que estos correos están diseñados
para provocar la confusión en el usuario sobre su origen, de forma que el cliente confíe
que el correo electrónico proviene realmente de su entidad bancaria.
Estas comunicaciones electrónicas fraudulentas incluyen, entre otras, las siguientes
notas comunes:

a. Logotipos o fotografías, que intentan dar un aspecto de página corporativa.

b. En muchas ocasiones el lenguaje es incorrecto o hay errores tipográficos,

debido a que suelen utilizarse traductores automáticos para realizar el envío a
diferentes Estados.

c. Suele introducirse un enlace a la página web que simula exactamente la página

segura de nuestra entidad o servicio de Internet, donde el usuario debe introducir
sus claves de acceso. Esa página normalmente no es segura, es decir no se trata
de una página certificada mediante SSL.

No obstante se han detectado en los últimos meses casos en los que incluso la página
Web falsa disponía de certificado SSL para generar mayor confusión en el visitante.

4
¿Qué hacer en caso de recibir un
correo electrónico con apariencia de
Phishing?
En el caso de que reciba un correo electrónico teóricamente enviado por su entidad
bancaria y que no sea de su plena confianza, debería sospechar y actuar según las
siguientes pautas:

a. Nunca conteste a un correo electrónico que no le

ofrezca confianza.
No conteste a
b. No borre el correo electrónico. Guárdelo en su
ordenador ya que puede ser de utilidad como correos
prueba en caso de posible procedimiento judicial o electrónicos
investigación policial.
cuando dude
c. En ningún caso haga clic en los posibles enlaces
o “links” que pudiera contener el correo electrónico.
sobre su
Puede llevarnos a sitios web aparentemente reales, procedencia.

pero falsos o descargar ficheros malignos en el

equipo.

d. Póngase en contacto con su oficina bancaria, de tal manera que puedan

informar a otros clientes y alertarles sobre la situación.

e. Póngase en contacto con los Cuerpos y Fuerzas de Seguridad del Estado, e

infórmeles de lo ocurrido.

¿Qué es el Pharming1 ?
Es una práctica delictiva en la que el estafador desvía el tráfico de Internet,
manipulando las direcciones DNS 2 (Domain Name Server) que utiliza el usuario.

A través de esta acción los delincuentes consiguen que las

páginas visitadas no se correspondan con las auténticas,
sino con otras creadas con la única finalidad e intención de
recabar los datos personales de la víctima.

Este delito suele cometerse en el ámbito bancario, donde

los delincuentes buscan adquirir datos personales para
obtener acceso a cuentas bancarias, robar datos
identificativos o cometer estafas suplantando la identidad
del usuario.

1
Para más información recomendamos visiten www.inteco.es
2
Los servidores DNS son los encargados de conducir a los usuarios a la página que desean ver,
“traduciendo” la dirección original del sitio Web.

5
Desde el punto de vista jurídico, el pharming es similar al phishing, pues ambos actos
son constitutivos del tipo penal de estafa dispuesto en el art. 248 de la Ley Orgánica
10/1995 del Código Penal, que establece que “Quienes con ánimo de lucro, utilizaren
un engaño suficiente, que induce al afectado a realizar un acto en perjuicio propio o
ajeno serán reos de estafa”.

No obstante, el pharming resulta aún mas peligroso que el phishing, puesto que el
usuario no es consciente de estar siendo redireccionado a una Web falsa, ni se
requiere de una posición activa por su parte, como en el caso del phishing.

¿Cómo podemos evitar el Pharming3?

En caso de detectar cualquier tipo de anomalía, diferencia o cualquier cuestión que se
salga fuera de lo normal cuando visitemos el sitio web, le recomendamos:

a. Poner en conocimiento del servicio de atención al cliente de la empresa tal

situación. En este caso recomendamos hacerlo por vía telefónica.
b. Disponer en el equipo de herramientas antivirus y firewall actualizados, que
eviten la instalación de software que nos redireccione a sitios Web falsos. Por otro
lado, el firewall nos permite conocer el tráfico que hay, tanto desde el ordenador
hacia Internet, como de Internet al ordenador, detectando los intentos de entrada a
nuestro equipo y el nivel de acceso logrado por éste (el sistema operativo Windows
XP dispone por defecto de un firewall instalado y activado).

c. Disponer de todas las actualizaciones del sistema operativo que se tenga

instalado, así como del software utilizado en el equipo, especialmente los
navegadores de Internet y programas gestores de correo electrónico.

d. Antispam: Existen soluciones en el mercado gracias a las cuales nuestras

cuentas de correo electrónico no serán constantemente bombardeadas por correos
electrónicos no deseados.

¿Cuáles son las implicaciones jurídicas

del phishing y del pharming?
Los elementos principales del tipo penal son:

a. Ánimo de lucro: El concepto de ánimo de lucro en España es entendido como

aquello que busca lograr un beneficio económico. No se incluyen en este concepto
aquellos que suponga un beneficio indirecto como cualquier ventaja o satisfacción.

b. Manipulación Informática o Artificio semejante: El mencionado concepto

introducido por el legislador en el art. 248.2 busca establecer un tipo penal con una
acción típica lo más genérica posible, buscando claramente que quepa en ella todo
tipo de acciones encaminadas a lograr la estafa.

3
Para más información recomendamos la lectura de www.belt.es

6
 Existen diferentes conceptos respecto a qué puede interpretarse como
“manipulación informática o artificio semejante”.

Puede destacarse el concepto de

Romeo Casabona que entiende que

se trata de la “…incorrecta

modificación del resultado de un

Art. 248.2 Código Penal:
“aquellos que con ánimo de
procesamiento automático de datos,
lucro y valiéndose de alguna
mediante la alteración de los datos
manipulación informática o
que se introducen o están ya
artificio semejante, consigan
contenidos en el ordenador en la transferencia no
cualquiera de sus fases de consentida de cualquier
procesamiento o tratamiento, activo patrimonial, en

siempre que sea con ánimo de lucro perjuicio de tercero.”

y perjuicio de tercero4 ...”

Por otro lado podemos tomar el

concepto acuñado por Gomez Perals que definió las manipulaciones informáticas
como la “...supresión, borrado u ocultamiento de datos o introducción de otros
falsos, o bien la alteración de las instrucciones que constituyen el programa 5 ..."

c. Transferencia no consentida: Uno de los pilares básicos del presente delito es el

hecho de que se lleva a cabo una disposición patrimonial, sin consentimiento del
titular y por tanto lesivo para el mismo.

Partiendo del concepto indicado en el punto b), es de tener en cuenta que pierde
cierta importancia por el hecho de que la manipulación informática pueda no
suponer una probabilidad real de causar daño al patrimonio del tercero. Sin esta
posibilidad factible y probable de causar daño patrimonial, la actividad típica
pierde su carga delictiva, no así la intencionalidad y enjuiciamiento en grado de
tentativa.

Así, “La conducta de la estafa informática no siempre

se caracteriza por la alteración del funcionamiento del
sistema informático; y mucho menos del resultado que Es necesario
se derivaría de un proceso de datos, ya que en
ocasiones la comisión de este delito, ni siquiera
el perjuicio
requerirá que tales sistemas lleguen a efectuar proceso patrimonial
de tratamiento alguno con respecto a los datos que
contienen o que se les introducen, limitándose los
del tercero.
mismos a servir de soporte de la representación o
anotación de la transferencia producida.”

“La única exigencia de ineludible cumplimiento de la conducta realizada sobre un

sistema informático, para que pudiese ser calificada como constitutiva de una
estafa informática propiamente dicha, vendrá constituida por el hecho de que

4
ROMEO CASABONA, C. M. "Delitos informáticos de carácter patrimonial". I y D n.º 9, 10, 11. UNED,
Mérida, 1996, pág. 417.
5
GÓMEZ PERALS, M. En "Los delitos informáticos en el Derecho español". En IyD n. 4. Ed. Aranzadi.
Mérida 1994, pág. 492.

7
 fuese adecuada para determinar una transferencia patrimonial real, efectiva y no
consentida6 .”

d. Perjuicio patrimonial de tercero: Según la doctrina mayoritaria, para aplicar el

tipo penal de la “estafa informática” es necesario que exista un perjuicio real en el
patrimonio “económico individual7 ” no bastando con que la acción típica haya
puesto en peligro el patrimonio económico de la víctima.
Del mismo modo puede implicar un delito de descubrimiento y revelación de
secretos del Art. 197 del Código Penal (en adelante CP) ya que las
comunicaciones comerciales de la víctima están siendo captadas por parte de un
tercero sin autorización expresa para ello, logrando así información considerada
como información confidencial y secreta.

¿Cómo podemos detectar que un sitio

Web no cumple con los requisitos de
seguridad básicos?
Debemos dudar siempre de cualquier comunicación vía correo electrónica
solicitándonos datos de carácter personal tales como claves de acceso, número de
cuenta, etc.

En este tipo de páginas hay que observar que la

dirección web comience por https://, apareciendo un
candado en la parte derecha de nuestra barra del
navegador, o en la parte inferior derecha
(dependiendo del tipo de navegador que se esté usando)
inteligible para terceros sin autorización.

El certificado de seguridad nos aporta la siguiente información: vigencia y validez del

mismo, verificación de la empresa titular del mismo, verificación de la entidad emisora
y el nivel de seguridad que implica.

En caso de que no aparezca esta información

recomendamos que no realice ninguna operación en el
sitio Web, se desconecte del mismo y notifique dicha
situación a la entidad en cuestión. Como regla general se
recomienda:

6
Galán Muñoz. EL FRAUDE Y LA ESTAFA MEDIANTE SISTEMAS INFORMÁTICOS. Análisis del artículo
248.2 CP. Titulo Epígrafe: b.2) Transferencia no consentida y comisión por omisión en la estafa
informática. Publicado en Tirant Online, Doctrina.
7
Tipo particular de Prestador de Servicios de Certificación que se encarga de verificar y legitimar ante los
terceros (usuarios) la identidad de un usuario y su clave pública. La intervención de una autoridad de
certificación supone la intervención de un tercero de confianza que garantiza la identidad de un sitio web,
un emisor de correo electrónico…etc. Concepto de Autoridad de Certificación Wikipedia.

8
a. Disponer de un antivirus (gratuito o de pago) completamente actualizado y
activado.
b. No instalar en el equipo software que haya sido descargado de sitios Web que
consideremos no seguros o descargados de software P2P 8.

c. Mantener tanto el sistema operativo, como el software utilizado,

completamente actualizado, especialmente en el caso de los navegadores de
Internet y gestores de correo electrónico, los cuáles suelen ser frecuentemente
vías de ataque de los equipos 9 .

¿Qué es el Hacking y el Cracking?

El HACKER es aquel sujeto que se vale de la informática para acceder a un sistema o
una red, navegar por el mismo, comprobar sus vulnerabilidades e informar de las
mismas a los responsables para que las corrijan o en su caso “apuntarse” un nuevo
logro, pero en ningún caso destruir o modificar la información alojada en el sistema.

El estimulo de un hacker no es otro que saciar su curiosidad o superar el reto personal

de lograr evitar la seguridad del sistema. A pesar de ello, según el Anteproyecto de
Reforma del Código Penal publicado el día 15 de
Enero de 2007, los hackers pasarán a ser previstos
expresamente en el Código Penal.

Por otro lado el CRACKER, cuya conducta se

caracteriza por acceder a sistemas informáticos de
forma no autorizada, del mismo modo que los
hackers (acción típica en la que coinciden), pero
con una finalidad bien distinta: menoscabar la
integridad, disponibilidad y acceso a la información
disponible en dicho sitio Web o en el sistema
informático.

En ambos casos, y siempre que se lleve a cabo sin

previa autorización por parte del titular del sistema,
se está cometiendo un acto delictivo, ya que ambas
actividades violan la intimidad de la víctima y la
confidencialidad de la información propiedad del
titular.

8
P2P: “Peer to Peer”. Mediante este sistema, formado por nodos y servidores no fijos que se comportan
simultáneamente como clientes/proveedores de información, se logra una capacidad de transferencia de
información muy elevada, ya que todas las partes actúan como servidores proveedores desde el mismo
momento que disponen del archivo en cuestión.
9
En las últimas versiones de Internet Explorer (v.7.0) y Firefox (v.2.0.2), se incorporan de serie
herramientas de detección de sitios Web fraudulentos, que avisan al usuario antes de permitir el acceso a
los mismos, respecto a la seguridad del sitio Web y respecto a los intentos de acceso fraudulento o
descarga no autorizada de software maligno al equipo.

9
Además, en el caso del cracking, se destruyen, causan daños o cambios en la
información, así como la inhabilitación de los soportes físicos tales como servidores,
discos duros, etc 10 .

¿Cómo podemos evitar el Hacking y el

Cracking?
Para que nuestro sistema no sea vulnerable a los ataques de hackers y crackers,
resulta necesario:

a. Disponer de un antivirus y firewall (de pago o gratuito) completamente actualizado.

Recomendamos visitar la sección Web del Centro de Alerta Temprana Antivirus
de INTECO 11 .

b. Contar con el firewall del sistema operativo activado.

c. No facilitar a ninguna persona en foros, programas de mensajería instantánea, etc.
claves de acceso al router, o a nuestro equipo.

d. Utilizar software de escaneo del ordenador específico para detección de virus y

software maligno, en especial “spyware” o “puertas traseras” y troyanos.

e. Controlar los accesos físicos a nuestro equipo, ya que una gran parte de las
vulnerabilidades informáticas provienen de una falta de seguridad a nivel físico.
f. Disponer de protección desde el punto de vista lógico, mediante usuarios y
contraseñas para nuestro sistema, routers, etc. A la hora de establecer una
contraseña debemos tener en cuenta la “robustez” de la misma, atendiendo a las
siguientes recomendaciones 12 :

- Usar mayúsculas y minúsculas.

- Recurrir al uso de tipología ASCII.

- Como mínimo tener una longitud de 8 elementos.

10
En el preámbulo del proyecto de ley, aparece expresamente la denominación “hacker”. Se modifica el
artículo 197. 3 del Código Penal, que en lo sucesivo quedará redactado así: "El que por cualquier medio o
procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, accediera sin
autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo,
será castigado con pena de prisión de seis meses a dos años." Del mismo modo, se incluyen en los
artículos 261 y 310 bis lo relativo a la destrucción de archivos informáticos y el diseño de aplicaciones con
el fin de defraudar a acreedores o a la Hacienda Pública
11
Centro de Alerta Temprana Antivirus de INTECO:
http://www.inteco.es/frontinteco/es/rss.do?action=viewCategory&categoryName=CATA+Ciudadanos&id=6
498
12
Información recabada de "The Simplest Security: A Guide To Better Password Practices", guía básica
de seguridad informática.

10
¿Cuáles son las implicaciones jurídicas
del Hacking y el Cracking?
A continuación procedemos a realizar un breve análisis jurídico del art. 197, apartado
primero del Código Penal:

El bien jurídico protegido en el art. 197.1 del Código Penal según el Tribunal Supremo
lo conforma “no tanto el derecho de propiedad sobre la carta o papel, como el secreto
de la correspondencia u otros papeles (se aplica a los documentos electrónicos),
secreto que constituye una de las necesidades más vitales de la libertad individual o
una parcela importante de las humanas libertades” (STS de 8 de marzo de 1974).

Respecto a los sujetos que intervienen en esta relación hay que tener en cuenta que el
sujeto activo no requiere de ninguna cualidad especial para ser reo de este delito,
mientras que el sujeto pasivo es aquella persona a la que ha sido violada su intimidad.

Nos planteamos la posibilidad de que en la

información sobre la que se ha accedido se
encuentren datos de carácter personal de
terceros.

En este caso la víctima real del delito no

sería este tercero, sino el titular de la
información, ocupando el tercero un cargo
de mero perjudicado civil, para cuya
persecución se requerirá la denuncia del
afectado.

La acción típica de este delito requiere que el autor lleve a cabo un acto físico dirigido
a obtener los datos considerados confidenciales o secretos. Por ello, requerimos de
la utilización premeditada de artificios técnicos, con la única finalidad de lograr
conocer información confidencial, aprovechándose de la negligencia de un tercero o
semejantes.(SAP de Alicante, de 22 de marzo de 1999)
A continuación procedemos a realizar un breve análisis jurídico del art. 197, apartado
segundo del Código Penal, para lo que nos basaremos en lo anteriormente dicho
respecto al art. 197.1

El bien jurídico protegido vuelve a ser de nuevo el secreto de la correspondencia u

otros papeles (se aplica a los documentos electrónicos).

Del mismo modo, los sujetos participes vuelven a ser de nuevo el actor, que no
requiere de ninguna cualidad especial para poder llevar a cabo la acción típica y por
otro lado, el sujeto

pasivo, que en este caso se trata del titular de los ficheros en los que se encuentran
los “datos reservados de carácter personal o familiar” .
Por último, la acción típica en este caso requiere del “apoderamiento, acceso,
modificación o alteración de datos reservados de carácter personal o familiar”.

11
En un primer lugar es necesario delimitar qué se entiende por datos reservados de
carácter personal o familiar, ya que indudablemente se trata de un ámbito más
restringido que el protegido por la normativa de protección de datos de carácter
personal, Ley Orgánica 15/1999.

En palabras del propio Tribunal Supremo,

«no todos los datos reservados de El daño al patrimonio
carácter personal o familiar pueden ser
objeto del delito contra la libertad
no tiene porqué
informática», sino sólo «aquellos datos reportar beneficio
que el hombre medio de nuestra cultura
considera “sensibles” por ser inherentes a
económico al
su intimidad más estricta, o dicho de otro delincuente o a un
modo, los datos pertenecientes al reducto
de los que, normalmente, se pretende no
tercero para que el
trasciendan fuera de la esfera en que se hecho sea constitutivo
desenvuelve la privacidad de la persona y
de su núcleo familiar» (STS de 18 de
de delito.
febrero de 1999).

Este tipo de datos íntimos deben encontrarse registrados, anotados o grabados en un

fichero de carácter informático o soporte informático13 ( CD, DVD, Pen Drive, etc)
Dentro de este tipo delictivo nos encontramos con otros tipos agravados que el
legislador ha considerado como hechos de una gravedad superior. Estos son:
El hacker y el cracker, una vez dentro del sistema informático puede llevar a cabo
diferentes acciones constitutivas de delito. Así, los cracker pueden llevan a cabo
acciones típicas constitutivas del delito de daños, regulado en los art. 263 y ss del CP.

El bien jurídico protegido en este tipo de delitos es el patrimonio, los bienes o

información que haya podido verse dañada por la acción del delincuente. No es
necesario que ese daño reporte un beneficio económico al delincuente o a un tercero,
sino que basta con que se haya dañado la cosa.

El legislador prevé una pena superior para aquellos casos en los que el daño se
realizaba sobre datos, información o sistemas informáticos (elementos lógicos y no
físicos) ya que entiende que el bien jurídico protegido es mucho más amplio que la
mera propiedad de dicha información, previendo los graves daños económicos que
puede causar la pérdida o destrucción de este tipo de acciones.

Respecto a los sujetos participantes no parece que haya que destacar nada relevante,
ya que no muestran ninguna particularidad concreta a la hora de llevar a cabo la
acción típica.
Por último, la acción típica puede ser llevada a cabo destruyendo, alterando,
inutilizando o en su caso dañando de cualquier otro modo, de forma total o parcial los
equipos informáticos (art. 263) y los datos, información y sistemas informáticos. (art.
264.2)

13
Art. 3. b) de la Ley Orgánica de Protección de Datos, 15/1999, todo conjunto organizado de datos de
carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento,
organización y acceso.

12
En caso de que la destrucción o inutilización conlleve la desaparición física y a la
vez lógica de la información, no se aplicará un concurso real de delitos, sino que en
virtud del principio de especialidad, se aplicará el delito establecido en el art. 264.2
del CP.

La aplicación de este tipo penal es frecuente cuando en el equipo de un usuario se

instala un virus, troyano, bomba lógica o semejante que provoque cualquiera de las
acciones típicas indicadas en el tipo penal (destruya, altere, inutilice o en su caso dañe
de cualquier modo los datos o la información).

Ahora bien, este tipo penal no es de aplicación en los casos en los que se instale un
virus o semejante que no destruya, altere o inutilice los datos, programas o
documentos electrónicos al que hace referencia el tipo penal, y que exclusivamente
cause al usuario incomodidad o retraso a la hora de utilizar el equipo.
Ejemplos de este tipo serían, como bien señalan los profesores Orts Berenguer y Roig
Torres en su artículo “Delitos informáticos y delitos comunes cometidos a través de la
informática” publicado en TirantOnline.com, los «ataques DOS» (Ataques de
Denegación de Servicio), que conllevan el bloqueo y la “caída” del servidor informático,
provocando así la inoperatividad del mismo, pero sin llegar a destruir o alterar el
servidor en cuestión, objeto sobre el que recae el ataque.
Especial relevancia otorga el Código Penal en el art. 265 a aquellos casos en los que
los daños, destrucción, inutilización (aún temporal) sean provocados, de forma grave
“sobre establecimientos o instalaciones militares, buques de guerra, aeronaves
militares, medios de transporte o transmisión militar, material de guerra,
aprovisionamiento u otros medios o recursos afectados al servicio de las Fuerzas
Armadas o de las Fuerzas y Cuerpos de Seguridad, será castigado con la pena de
prisión de dos a cuatro años si el daño causado excediere de 300
”.

Por otro lado, ambas acciones típicas pueden llegar a suponer un delito relativo al
mercado y los consumidores. Últimamente el tipo penal previsto en el art. 255 del
Código Penal está siendo aplicado con frecuencia, ya que la utilización de dispositivos
hardware o software para lograr defraudar o aprovecharse de las líneas de
telecomunicaciones, gas, agua o electricidad propiedad de terceros cada vez se
encuentra más extendida.

En el caso que nos ocupa, los delincuentes frecuentemente llevan a cabo el acceso a
redes inalámbricas y phishing de direcciones IP (uso de direcciones IP de otros
usuarios) para cometer delitos contra terceros sin utilizar su propia IP y evitar, de esta
forma, el poder ser detectados 14.
Como puede observarse, existe un gran abanico de delitos que podrían ser
considerados “delitos informáticos” por la intervención de las nuevas tecnologías para
su comisión. No obstante, este listado de delitos va ampliándose constantemente,
debido al constante cambio del sector de las TIC.

14
Art. 255 CP. “Será castigado con la pena de multa de tres a 12 meses el que cometiere defraudación
por valor superior a 400 euros, utilizando energía eléctrica, gas, agua, telecomunicaciones u otro
elemento, energía o fluido ajenos: a. Valiéndose de mecanismos instalados para realizar la
defraudación…. b. Empleando cualesquiera otros medios clandestinos.

13
¿Qué podemos considerar “Malware”?

Malware puede ser definido como resultado de la agrupación de las palabras

“malicious software” o “software malicioso”.
Los más comunes son los virus, gusanos, troyanos y programas de spyware /
adware. Este tipo de programas pueden ser creados para llevar a cabo gran cantidad
de finalidades, tales como recopilar información confidencial sobre el usuario, lograr
controlar un equipo en modo remoto o dañar e incluso inutilizar por completo un
equipo.

¿Cómo puedo protegerme del

Malware?
La naturaleza del malware es variada, pero podemos indicar una serie de medidas
básicas y eficaces para protegerse de estos programas malintencionados. Son los
siguientes:

a. Mantenerse informado respecto a la seguridad en Internet y los últimos casos

existentes de fraude y virus 15 .

b. No aceptar ningún archivo adjunto que provenga de una dirección que no sea
conocida o no nos brinde confianza, ya sea mediante correo electrónico o sistemas
de mensajería instantánea.

c. Tener instalado software antivirus actualizado. Es muy importante, ya que en

caso contrario este pierde su finalidad, la detección del “malware”.

d. Mantener actualizado el sistema operativo. Los sistemas operativos

mayoritarios contienen sistemas de auto-actualización, que cierran las posibles
vulnerabilidades y reducen las posibilidades de que el malware entre en nuestro
equipo.
e. Disponer del firewall del sistema operativo activado, salvo en caso de que se
disponga de una herramienta específica para ello.

f. En caso de que el equipo se bloqueé constantemente o se reinicie por sí sólo

recomendamos analizar el sistema en busca de virus o malware, así como
inspeccionar la lista de procesos activos en el sistema, para detectar posibles
procesos no ejecutados por nosotros. (Revisar la lista de software recomendado)

15
Para mantenerse actualizado respecto a virus y amenazas de seguridad, recomendamos visitar con
frecuencia http://www.inteco.es

14
¿Qué podemos considerar “Virus” y
qué “Gusano"?
Este tipo de programas tienen en común la capacidad para auto-replicarse. Pueden
“contaminar” con copias de sí mismos el equipo en el que fueron depositados, así
como reenviarse a otros equipos vía correo electrónico o mediante software de
mensajería instantánea.

La diferencia entre el gusano y el virus

informático radica en que el gusano opera En la actualidad, los
de forma independiente a otros archivos,
mientras que el virus depende de un
virus son el tipo más
portador para llegar al equipo y lograr así extendido de
su objetivo, la mayor difusión posible.
malware, debido en
Los virus son pequeños programas
informáticos adjuntos a un portador (un
gran parte a la
programa o archivo infectado) que permite masificación del uso
que el virus pueda propagarse de un equipo
a otro, logrando causar daños en software,
de la Red de Internet,
hardware y documentos albergados en el y del correo
equipo.

La capacidad para añadirse a un programa o archivo aparentemente inofensivo, unido

al uso extensivo y masivo del correo electrónico e Internet, han hecho de este tipo de
“malware” el más extendido en la actualidad.

Los gusanos guardan cierto parecido a los virus, sin embargo éstos no dependen de
archivos portadores, sino que se multiplican por sí mismos. Así, los gusanos se
propagan sin la intervención del usuario, distribuyendo copias completas de sí mismo
por la Red.

Este tipo de software, una vez logra acceder a nuestro sistema, toma el control de las
herramientas para transferir archivos o información (gestores de correo electrónico,
mensajería instantánea, etc.) con el fin de lograr la máxima propagación posible a
través de la Red.

¿Qué son los Troyanos?

Un “caballo de troya” es una pieza de software malicioso disfrazado bajo la imagen
de software legítimo.

Los caballos de troya no tienen capacidad para replicarse por sí mismos. Ahora bien,
el principal peligro es que son capaces de alojarse en equipos y permitir el acceso a
usuarios externos sin autorización, mediante el uso de “puertas traseras” que dan
acceso en muchos casos al equipo completo, permitiendo recabar información o
controlar remotamente la máquina anfitriona, pero sin afectar al funcionamiento de
ésta y sin que el usuario se de cuenta de ello.

15
Mediante este tipo de herramientas un tercero no autorizado podría acceder a nuestro
equipo y utilizarlo plenamente como si estuviera frente al teclado, esto incluye hacer
capturas de pantalla, descargarse archivos del ordenador de la víctima, ver, manipular,
copiar, añadir o borrar archivos del ordenador de la víctima, activar su webcam o
manejar el ratón, entre otras muchas finalidades .

¿Cuáles son las implicaciones jurídicas

del malware?
Todas las versiones de malware anteriormente indicadas conllevan una serie de
repercusiones jurídicas.

El uso de malware para acceder a un equipo informático o a la información lógica

puede suponer la comisión de un delito de descubrimiento y revelación de secretos,
penado por el Art.197 del CP y ya comentado en las anteriores páginas.
Siempre que se produzca el acceso, o se conozca la información de carácter privado
que se encuentra almacenada en su sistema y que no puede haber sido difundida por
otra persona, estaremos ante la comisión del delito de descubrimiento y revelación de
secretos.

Hay que resaltar como el legislador español, con fecha de 15 de enero de 2007, ha
publicado el Anteproyecto de Ley Orgánica por la que se modifica la Ley Orgánica
10/1995 (Código Penal. Lo destacable desde el punto de vista aquí analizado, es que
el legislador ha entrado a regular expresamente las acciones de los hackers,
cumpliendo así con lo dispuesto en la Decisión Marco 2005/222/JAI del Consejo de la
Unión Europea de 24 de febrero de 2005, relativa a los ataques contra los sistemas de
información.
Esta modificación hace que se añada al artículo 197 un nuevo apartado que castiga a
“el que por cualquier medio o procedimiento y vulnerando las medidas de seguridad
establecidas para impedirlo, accediera sin autorización a datos o programas
informáticos contenidos en un sistema informático o en parte del mismo, será
castigado con la pena de prisión de seis meses a dos años” (art. 197.3 del Proyecto
de reforma).

Por otro lado, la reforma prevé un aumento de pena

para el caso de que dicha actividad delictiva fuera
cometida “en el seno de una organización criminal”.

Por otro lado, cabe destacar la facilidad de que este

tipo de software llegue a provocar daños sobre el
hardware o sobre aplicaciones, incurriendo en tal caso
su autor en un delito de daños tipificado en el Art. 263
y ss del CP que ya ha sido comentado en la página 13
del presente documento.

16
Debemos destacar la gran versatilidad a la hora de programar este tipo de programas.
Esto provoca que dependiendo de la finalidad con la que se hayan programado, los
delitos cometidos puedan ser unos u otros, debiendo atender a las circunstancias
concretas de cada caso.

¿A quién puedo dirigirme en caso ser

víctima de este tipo de delitos?
En caso de ser víctima de cualquiera de estas actividades delictivas y especialmente
en aquellos casos en los que haya existido un daño económico para nuestro
patrimonio o se haya vulnerado nuestra intimidad, se debe interponer denuncia
ante las Fuerzas y Cuerpos de Seguridad, así como comunicarlo en su caso al
departamento de delitos telemáticos.

Actualmente en España existen varias instituciones con grupos específicos:

GRUPO DE DELITOS TELEMÁTICOS DE LA GUARDIA

CIVIL
El GDT dispone de personal especializado en la persecución de los autores de delitos
informáticos

Los datos de contacto de este grupo especializado son:

C/Guzmán El Bueno, 110
28003 Madrid (España)
e-mail: delitostelematicos@guardiacivil.org

Telf: 91 514 64 00

POLICIA NACIONAL
La Policía Nacional dispone de la Unidad de Investigación de la Delincuencia en
Tecnologías de la Información, que se encuentra operativa las 24 horas del día.

En esta unidad se persiguen e investiga, por personal altamente cualificado, los delitos
cometidos mediante el uso de las nuevas Tecnologías de la Información

Los datos de contacto de esta unidad especializada son:

CENTRO POLICIAL DE CANILLAS

C/Julián González Segador, s/n,
28043 – Madrid / e-mail: delitos.tecnologicos@policia.es
Telf: 91 582 27 51 / Telf: 91 582 23 07

ERTZAINTZA
Al igual que las Fuerzas y Cuerpos de Seguridad del Estado, la Comunidad Autónoma
del País Vasco, ha creado un grupo especializado en "delincuencia informática",
denominado Sección Central de Delitos en Tecnologías de la Información, (SCDTI).

17
Se puede contactar con ellos a través de:

Web: www.ertzaintza.net

e-Mail: delitosinformaticos@utap.ej-gv.es

MOSSOS D´ ESQUADRA
Al igual que las Fuerzas y Cuerpos de Seguridad del Estado, la Comunidad Autónoma
de Cataluña, ha creado un grupo especializado en delitos telemáticos dedicados a la
persecución de este tipo de delitos a través de la Red.

Conclusiones Generales
El uso de Internet o del comercio electrónico no resulta más peligroso que cualquiera
de las actividades que llevamos a cabo en nuestra vida real.

Nos conviene:

a. Ser conscientes de que existen peligros y delincuentes que pretenden lucrarse con
sus actividades.

b. No proporcionar datos de carácter personal, datos de acceso a cuentas bancarias

o de acceso a cuentas de correo.

c. Desconfiar de sitios Web en los que se solicitan datos bancarios sin disponer de
certificados de seguridad del sitio Web.

d. Estar informados de los peligros existentes y de cuáles son los más activos en
cada momento ya que, al igual que en la vida real, los delincuentes y sus medios
se renuevan continuamente.

e. Mantener activados y actualizados los principales medios para evitar todos estos
problemas. Los principales son:

- Uso de antivirus activado y actualizado. En el mercado existen una enorme

cantidad de antivirus que se ajustan a las necesidades tanto del usuario
particular como a nivel empresa.
- Uso de Firewall mediante el que podremos controlar el tráfico de entrada y
salida de nuestro ordenador.

- Actualización constante de nuestro Sistema Operativo y software cotidiano.

18