Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Delitos informáticos
Índice
Esquema 3
Ideas clave 4
8.1. ¿Cómo estudiar este tema? 4
8.2. Introducción 4
8.3. Fraudes en la red 11
© Universidad Internacional de La Rioja (UNIR)
A fondo 36
Test 37
Esquema
© Universidad Internacional de La Rioja (UNIR)
Para estudiar este tema deberás leer las Ideas clave desarrolladas en este
documento, que se complementan con lecturas y otros recursos para que puedas
ampliar los conocimientos sobre el mismo.
8.2. Introducción
Características de la ciberdelincuencia:
• Son delitos de fácil comisión. De forma genérica y dejando de lado los delitos
puramente tecnológicos, que necesitan una mayor elaboración, la preparación
y ejecución de la mayoría de los ciberdelitos no conlleva apenas dificultad.
• Una misma acción delictiva puede causar un número muy elevado de víctimas,
© Universidad Internacional de La Rioja (UNIR)
sin que tengan una relación directa ni entre ellas ni con el autor.
• Existe una importante cifra negra de delitos, por no ser las víctimas conscientes
de serlo o porque, siéndolo, prefieren no presentar denuncia.
• Están castigados en el Código Penal con escasa pena. Los tipos más usuales de
ciberdelitos, en sus casos no agravados, están penados con un máximo de tres
años de prisión.
Ciberdelincuencia organizada
Para poder definir lo que se entiende por delincuencia organizada, Europol cita
determinadas características, a las que llama «indicadores», que deben cumplir los
grupos criminales desde un punto de vista operativo:
© Universidad Internacional de La Rioja (UNIR)
Indicadores obligatorios:
• Colaboración de dos o más personas.
• Búsqueda de beneficios de poder.
• Permanencia en el tiempo.
• Sospecha de comisión de delitos graves.
un interminable etcétera.
En sentido estricto la ciberdelincuencia organizada se podría definir como aquella
centrada en la comisión de delitos a través o contra las TIC, sin mantener relación
alguna con la delincuencia tradicional, no se caracteriza por seguir estructuras
jerarquizadas, sino que habitualmente se forma por iguales que trabajan en
Introducción
Sin duda, las estafas son los delitos que más rápido y con más éxito han realizado la
migración desde la vida real a la virtual. Los estafadores han modificado las técnicas
utilizadas con el objetivo de embaucar a sus víctimas en timos como «la estampita»,
los «nazarenos» o los «trileros», para adaptarlas a la red, que se presenta como un
espacio ideal donde engañar a sus víctimas sin asumir ninguno de los riesgos que las
estafas tradicionales llevaban consigo.
En los fraudes online, junto con los delitos contra el honor, es donde existe una mayor
incidencia de cifra negra (delitos no denunciados), propiciada por dos factores
principales:
© Universidad Internacional de La Rioja (UNIR)
El primero es que las estafas suelen ser por importes bajos, lo que desanima a las
víctimas a denunciar por considerar que no merece la pena tener que pasar por
las distintas fases procesales.
Ataques a contraseñas
Los ciberdelincuentes se sirven de diversas técnicas y herramientas con las que atacar
a nuestras credenciales. Los usuarios no siempre les dificultamos esta tarea, y
solemos caer en malas prácticas que ponen en peligro nuestra seguridad:
todo tipo de fraudes y estafas online con las que engañarnos a los usuarios para
que revelemos nuestros datos personales, o con las que obtener un beneficio
económico a nuestra costa.
Los ataques a las conexiones inalámbricas son muy comunes, y los ciberdelincuentes
se sirven de diversos software y herramientas con las que saltarse las medidas
de seguridad e infectar o tomar control de nuestros dispositivos.
Generalmente, este tipo de ataques se basan en interponerse en el intercambio de
información entre nosotros y el servicio web, para monitorizar y robar datos
personales, bancarios, contraseñas, etc.
Redes trampa: la creación de redes wifi falsas es una práctica muy utilizada por
los ciberdelincuentes. Consiste en la creación de una red wifi gemela a otra
legítima y segura, con un nombre igual o muy similar a la original, que crean
utilizando software y hardware. Luego, la configuran con los mismos parámetros
que la original, esperando que nos conecte a esta.
suplantar nuestra identidad, la de una web o una entidad. Se basa en tres partes:
el atacante, la víctima y el sistema o entidad virtual que va a ser falsificado.
El objetivo de los atacantes es, mediante esta suplantación, disponer de un acceso
a nuestros datos. Según el tipo de Spoofing, la suplantación y el engaño se llevarán
a cabo de forma distinta. Como protección, es fundamental que
Ataques DDoS: DDoS son las siglas en inglés de «Ataque distribuido denegación
de servicio» y consiste en atacar un servidor web al mismo tiempo desde muchos
equipos diferentes para que deje de funcionar al no poder soportar tantas
peticiones.
Inyección SQL: Las páginas webs suelen estar vinculadas a bases de datos, basadas
en un lenguaje de programación conocido como SQL. Este tipo de ataque permite
a los ciberdelincuentes insertar líneas de código SQL maliciosas en la propia
aplicación web, obteniendo acceso parcial o completo a los datos, pudiendo ser
monitorizados, modificados o robados por el atacante.
SQL es un lenguaje de programación utilizado para interactuar con bases de datos.
Los ciberdelincuentes atacan a una aplicación web basada en este tipo de
lenguaje, comprometiendo la base de datos mediante líneas de código malicioso.
© Universidad Internacional de La Rioja (UNIR)
Sniffing: Se trata de una técnica utilizada para escuchar todo lo que ocurre dentro
de una red. Los atacantes utilizan herramientas de hacking, conocidas como
sniffers, de forma malintencionada para monitorizar el tráfico de una red.
gracias a que permiten anonimizar las transacciones son muy utilizadas por los
ciberdelincuentes como forma de pago en sus extorsiones.
Apps maliciosas: Las apps maliciosas se hacen pasar por aplicaciones legítimas o
tratan de emular a otras aplicaciones de éxito. Una vez instaladas en el dispositivo,
Daños informáticos
Introducción
De todos los delitos descritos a lo largo de este módulo, los incluidos en este punto
son los que se pueden considerar como más puramente informáticos. Se trata de
ataques contra la confidencialidad, la integridad y la disponibilidad.
Entre los identificados como daños informáticos se encuentran aquellas acciones que
tienen como objetivo dañar, deteriorar, alterar, suprimir o hacer inaccesibles datos
o programas informáticos ajenos. Junto a estas actividades, se recogen también, bajo
la denominación de daños informáticos, las acciones que tengan como resultado el
obstaculizar o interrumpir el funcionamiento de un sistema informático ajeno.
Estos tipos penales se recogen en el artículo 264 del Código Penal, donde se
diferencian los ataques contra la información propiamente dicha e incluida en los
sistemas informáticos, de los dirigidos contra los propios sistemas, cuando son estos
los que reciben la acción delictiva.
Con frecuencia la introducción de malware en su sentido más amplio (virus, troyanos,
gusanos, backdoors, exploits, sniffer) no tiene como fin último causar algún tipo de
© Universidad Internacional de La Rioja (UNIR)
A pesar de ser el tipo penal que con más interés y coordinación internacional se
persigue y el que cuenta con un número mayor de iniciativas jurídicas y de acuerdos
internacionales, aún no se ha logrado encontrar la manera de parar la difusión y, lo
que es peor, detener la producción de este tipo de contenidos, debido en gran
medida a que es una actividad criminal que mueve grandes cantidades de dinero a
nivel internacional.
maneras en que se puede cometer este delito con el estado actual de la tecnología.
El artículo actual del Código Penal mediante el que se persigue el delito de difusión
de contenidos relacionados con abusos a menores es el 189. Se tipifican en él
acciones como la elaboración, la producción, la venta, la difusión, la exhibición, la
Entre las diversas vías por las cuales, actualmente, se procede a la difusión de este
tipo de contenidos ilícitos, se encuentran las siguientes:
Páginas web a las que se accede sin ningún tipo de restricción, a través de los
navegadores y que se encuentran indizadas por los buscadores.
Páginas web indizadas en los buscadores, pero de acceso condicionado, por lo que
exige que sus usuarios formen parte la comunidad, en la que participan enviando
archivos o a la que contribuyen ingresando importes económicos.
Páginas web no indizadas por los buscadores (conocido como deep web). Para
acceder a ellas hay que conocer previamente su dirección web y hacerlo a través
de determinados protocolos de comunicaciones.
Mensajería instantánea a través de canales de IRC, chats, MMS, etc.
Foros, que al igual que las páginas web, pueden ser de libre acceso o de acceso
restringido.
Correos electrónicos individuales o mediante listas de correos.
Redes peer to peer (P2P) o red de pares.
Como para cualquier tipo de organización, las terroristas han descubierto el enorme
potencial que les brinda Internet. Los grupos terroristas y sus simpatizantes usan
Internet para reclutar, radicalizar, formar, financiar, diseminar propaganda, entrenar
© Universidad Internacional de La Rioja (UNIR)
8.5. Denuncias
© Universidad Internacional de La Rioja (UNIR)
Introducción
Existen distintas vías que pueden ser seguidas para informar a las autoridades
policiales o judiciales, de la existencia de un hecho que pudiera ser considerado como
delictivo. Según se actúe como víctima o como mero informante, unido al grado de
Denunciando ciberdelitos
Aportar, junto a la denuncia y con ello poner a disposición de las autoridades, los
indicios que hayan podido quedar de la comisión del delito (o de hechos
relacionados) en dispositivos de almacenamiento o en forma de registros o logs.
Hemos de tener en cuenta que los indicios que pueden facilitar la identificación
de los ciberdelincuentes o conocer cómo se ha desarrollado totalmente el delito
denunciado, no son permanentes en el tiempo y, además, son relativamente
fáciles de manipular.
En las investigaciones sobre ciberdelitos las pruebas sobre las que basar una
acusación se obtienen, complementariamente a la labor de investigación judicial y
policial, con la confección de informes forenses realizados sobre los distintos tipos
de dispositivos informáticos y electrónicos relacionados con los hechos. En ellos se
buscan los posibles rastros que, como en todo delito, quedan de su comisión entre la
información almacenada o que haya sido trasferida.
Como otra característica para tener en cuenta, las pruebas o indicios de la actividad
criminal suelen encontrare en dispositivos que pertenecen o son utilizados
habitualmente por personas concretas y, con toda probabilidad, almacenan
información directamente relacionada con su intimidad y privacidad. En el caso de
Las evidencias digitales, por su naturaleza, son frágiles y pueden ser manipuladas,
alteradas o destruidas de una forma muy sencilla, tanto consciente e
intencionadamente, como por la utilización de procedimientos inadecuados durante
su recogida, traslado, almacenamiento o examen.
© Universidad Internacional de La Rioja (UNIR)
Los técnicos u otro personal sobre el que recaiga esta responsabilidad deberán
documentar detalladamente todo el proceso que sigan desde su inicio hasta su
conclusión.
Como hemos visto anteriormente, la protección de los menores en la red, así como
la información sensible referida a estos es de vital importancia. En este caso, vamos
a profundizar en los derechos del menor, concretamente en el principio
constitucional del interés superior del menor, así como en el marco jurídico aplicable
y existente
Este principio inspira la normativa aplicable a los menores. El interés superior del
menor fundamenta la tutela reforzada del mismo. Está consagrado en el art. 3 de la
Convención de Naciones Unidas sobre los Derechos del Niño y confirmado con
posterioridad en la Carta de Derechos Fundamentales de la Unión Europea. Además,
constituye un principio constitucional, derivado del artículo 39 de la Constitución
Española, en relación con el artículo 10 del mismo cuerpo legal. El niño al no haber
alcanzado la plena madurez psicológica y física necesita más protección que los
adultos, de este modo, se superpondrá el interés legítimo del menor por encima de
© Universidad Internacional de La Rioja (UNIR)
cualquier otro.
Tengamos en cuenta que el niño goza de todos los derechos que le son inherentes
por el simple hecho de ser persona. Personalidad que se adquiere desde el momento
Nos vamos a referir sobre todo a los derechos personales de honor, intimidad y
propia imagen, ya que fundamentalmente son los principales derechos del menor
afectados en este mundo digital y que por lo tanto el legislador tratará de proteger a
través de la normativa inspirada en esta protección superior.
El interés del menor (ya que según la ley, este no podrá tomar determinadas
decisiones) se comprende por encima de cualquier otro interés y de este modo el
niño gozará de la máxima protección posible. Este principio general deberá tenerse
en cuenta en cualquier decisión que afecte a un menor e inspirará todas las
actuaciones relacionadas con los mismos.
una serie de normativas, donde el principio de protección del menor estará por
encima de cualquier decisión o acción de dicho ámbito.
las telecomunicaciones, establece que los operadores que exploten redes públicas de
comunicaciones electrónicas o que presten servicios de comunicaciones electrónicas
deberán garantizar el secreto de las telecomunicaciones de conformidad con los art.
18.3 y 55.2 CE.
Por último, poner de manifiesto la especial importancia que este nuevo reglamento
le da al menor en protección de datos, en lo que a las Tecnologías de la Información
y a las comunicaciones se refiere.
En el considerando 38 dicta que los niños merecen de una protección especial en sus
datos personales. Y da las razones por las que esto es así, considerando que estos
pueden ser menos conscientes de los riesgos, consecuencias, garantías y derechos
concernientes al tratamiento de datos personales. Prosigue diciendo que dicha
protección específica, debe aplicarse en particular, a la utilización de datos
personales de niños o elaboración de perfiles de personalidad o de usuario, y a la
obtención de datos personales relativos a niños cuando se utilicen servicios ofrecidos
directamente a estos.
Ya con este primer precepto vemos la especial relevancia con la que ha tratado el
legislador el tema del menor con las telecomunicaciones en este nuevo Reglamento.
© Universidad Internacional de La Rioja (UNIR)
Su párrafo primero estípula que cuando se aplique el artículo 6, apartado 1, letra a),
en relación con la oferta directa a niños de servicios de la sociedad de la información,
el tratamiento de los datos personales de un niño se considerará lícito cuando tenga
como mínimo 16 años. Si el niño es menor de 16 años, tal tratamiento únicamente
se considerará lícito si el consentimiento lo dio o autorizó el titular de la patria
potestad o tutela sobre el niño, y solo en la medida en que se dio o autorizó.
Quiere esto decir, que únicamente será válido el consentimiento dado por un menor
para crear un perfil en las Redes Sociales cuando este tenga 16 años (actualmente el
rango de edad se sitúa en los 14). No obstante, el menor podrá tener dicha cuenta en
la Red Social siempre que haya sido creada bajo la supervisión de quien ejerza la
patria potestad o tutela y haya autorizado dicha acción. (Situación que es difícil de
controlar actualmente, como ya vimos con anterioridad, debido a la facilidad de
acceso que ostentan dichas redes y el casi «nulo» control de quienes las administran
y de dichos padres o tutores).
No obstante, el legislador les da la potestad a los Estados Miembros de fijar por ley
su propia edad, siempre y cuando esta no sea inferior a trece años.
© Universidad Internacional de La Rioja (UNIR)
Vídeo 2. Denuncias.
Guía elaborada por el INCIBE y la Oficina de Seguridad del Internauta con definiciones
y ayuda en caso de ser víctima de ciberataque.
https://www.osi.es/sites/default/files/docs/guia-ciberataques/osi-guia-
ciberataques.pdf
Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal. Boletín Oficial del
Estado, núm. 281, de 24 de noviembre de 1995.
http://noticias.juridicas.com/base_datos/Penal/lo10-1995.html
Ley Orgánica 11/1999, de 30 de abril, de modificación del Título VIII del Libro II del
Código Penal, aprobado por Ley Orgánica 10/1995, de 23 de noviembre. Boletín
Oficial del Estado, núm. 104, 1 de mayo de 1999.
http://noticias.juridicas.com/base_datos/Penal/lo11-1999.html
Ley Orgánica 5/2010, de 22 de junio, por la que se modifica la Ley Orgánica 10/1995,
de 23 de noviembre. Boletín Oficial del Estado, núm. 152, 23 de junio de 2010.
© Universidad Internacional de La Rioja (UNIR)
http://noticias.juridicas.com/base_datos/Penal/lo5-2010.html
Rivers, D. (2013). Las formas en que el terrorismo puede surgir desde las redes sociales.
https://cnnespanol.cnn.com/2013/04/28/como-el-terrorismo-puede-nacer-en-las-
redes-sociales/
Artículo de Dan Rivers, publicado en la web CNN Español, sobre las formas en que el
terrorismo puede surgir desde las redes sociales y artículo publicado por The Inquisitr
donde se hace referencia a la atención que Al Qaeda está mostrando en la Yihad
Electrónica.
Guía de Ciberataques
Guía elaborada por el INCIBE y la Oficina de Seguridad del Internauta con definiciones
y ayuda en caso de ser víctima de ciberataque.
© Universidad Internacional de La Rioja (UNIR)
3. Entre los indicadores obligatorios que deben cumplir los grupos criminales para
definirlos como ciberdelincuencia organizada encontramos:
A. Colaboración de dos o más personas.
B. Búsqueda de beneficios de poder.
C. Permanencia en el tiempo.
D. Todas las respuestas son correctas.
6. El phishing es:
A. Delitos no denunciados.
B. Un tipo de fraude donde el ciberdelincuente enviará un mensaje suplantando
a una entidad legítima, con la que nos sintamos confiados, para lograr su
objetivo.
C. Cantidades económicas derivadas de la delincuencia.
D. Todas las respuestas son incorrectas.
10. Las vías a través de las cuales se distribuyen mayoritariamente los contenidos
protegidos son:
A. Intercambio mediante protocolos peer to peer (P2P).
B. Páginas web desde las que se facilitan enlaces a los contenidos.
C. Visionado directo o streaming.
D. Todas las respuestas son correctas.
© Universidad Internacional de La Rioja (UNIR)