Guías Legales
LA RESPUESTA JURÍDICA FRENTE A LOS ATAQUES CONTRA LA SEGURIDAD DE LA INFORMACIÓN
OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN Área Jurídica de la Seguridad y las TIC
Aspectos Generales
Con esta guía pretendemos sacar a la luz cuáles son los principales problemas y peligros que existen en el uso de las Nuevas Tecnologías, especialmente en Internet y darles una visión jurídica. La cuestión de la denominada eConfianza es básica para lograr la plena implantación de las TIC en la sociedad actual. Para ello, es necesario el conocimiento y formación respecto a los delitos más habituales en el entorno informático, ya que mediante ésta será mucho más sencillo lograr la confianza plena de la sociedad en el uso de las Nuevas Tecnologías (en adelante NN.TT). Si bien el elemento técnico es esencial, hay que tener en cuenta que una gran parte de la e-Confianza viene dada por el elemento jurídico o legal. Ambos mecanismos son esenciales y pilares básicos para lograr la generación de confianza en la Red. El uso de herramientas informáticas ha dotado de nuevos medios a los tradicionales delincuentes, que llevan a cabo los delitos de siempre, mediante instrumentos diferentes. La seguridad jurídica en el sector informático se ve amenazada por dos frentes principalmente. Por una parte, actividades ilícitas que utilizan medios informáticos para poder ser llevadas a cabo. En este grupo incluiremos el phishing, el pharming o el scaming.
Seguridad y eConfianza son pilares básicos del comercio electrónico.
Por otra parte, encontramos toda una serie de aplicaciones, que mediante la instalación en el equipo informático, puede acarrear graves problemas de seguridad y estabilidad en el sistema del usuario. Entre ellos, cabe destacar: virus, troyanos, gusanos, etc. Este tipo de aplicaciones se denomina genéricamente “malware o código malicioso" Esta guía legal ofrece una visión general de lo que implica la seguridad informática y la e-confianza en Internet. En todo caso, se recomienda la lectura detenida de las sucesivas guías específicas sobre cada uno de los delitos informáticos presentados en esta guía.
A continuación se lleva a cabo un breve análisis respecto a dos de las principales figuras delictivas en el marco electrónico, ambas relativas al fraude informático.
2
¿Qué es el Phishing?
El phishing es una estafa llevada a cabo mediante técnicas de ingeniería social en las que el estafador, o phisher, intenta conseguir información confidencial (contraseñas, datos bancarios, etc) de forma fraudulenta. El estafador o phisher suplanta la personalidad de una persona o empresa de confianza. El objetivo de esta acción es que el receptor de una comunicación electrónica aparentemente legítima (vía correo electrónico, fax, sms o telefónicamente), confíe en la veracidad de ésta y facilite datos privados de acceso a cuentas bancarias, o en su caso, cuentas de correo, servidores, etc. Dicha comunicación electrónica supone una modalidad muy peligrosa de “spam” (comunicación comercial no deseada) que no solamente satura nuestro correo electrónico y servidores, sino que resulta un autentico peligro para la integridad y confidencialidad de los datos privados del receptor. Los medios que utiliza el phisher son muy diversos.
Normalmente, utiliza el envío de correos electrónicos
fraudulentos a clientes de entidades financieras o de naturaleza semejante (eBay, PayPal, etc.), así como correos fraudulentos que contienen troyanos. Estos programas logran el control absoluto del equipo en el que son instalados, logrando obtener claves de acceso y datos bancarios directamente desde un equipo. Otra variante consiste en que el phisher que logra que la víctima visite una página web falsa con apariencia exactamente igual al sitio web legítimo, provoca que el usuario navegue sin dudar de la seguridad de la misma. Últimamente, se han detectado nuevas modalidades de phishing que vienen enmascaradas como ofertas de trabajo muy beneficiosas, solicitud de donaciones a ONG´s falsas, etc. Estos correos tienen la clara finalidad de captar los datos personales de los usuarios, especialmente los datos bancarios.
El Phishing puede ser constitutivo de un delito de estafa.
¿Cómo evitar ser víctima del phishing ?
Como primera medida, en caso de que sospechemos haber sido víctimas de phishing, se lo comunicaremos a la entidad financiera correspondiente. Las entidades financieras no suelen hacerse responsables de este tipo de estafas, ya que en la mayor parte de los casos se ha debido a una falta de diligencia por parte del usuario, que ha facilitado sus datos de acceso a un desconocido que se lo solicitaba a través de la Red.
3
A continuación se muestra un caso real de Phishing: (Diciembre de 2006) “Estimado cliente, ¡Es muy importante y obligatorio a leer! Posiblemente Usted notó que la semana pasada nuestro sitio www.xxxx.es funcionaba inestable y se observaban frecuentes intermitencias. Hemos renovado nuestras instalaciones bancarias y ahora el problema está resuelto. Pero para activar un sistema nuevo de protección de los datos y una capacidad de trabajo correcta de sus cuentas bancarias, le pedimos a Usted introducir los detalles completos de la cuenta para que podamos renovar nuestra base de los clientes y comprobar la capacidad de trabajo de nuestro nuevo sistema de protección de los datos. Si Usted no activa su cuenta bancaria, no va a tener las posibilidades complementarias de la defensa de seguridad en su cuenta”. La mejor manera de defendernos de estos ataques es conociendo los medios que utilizan los autores, usar el sentido común y ayudarnos de una serie de técnicas de detección que garantizarán que no caeremos en esta modalidad de estafa electrónica.
¿Cómo saber que un e-mail es un caso de Phishing? Lo primero que debe tenerse en cuenta es que las entidades bancarias cuentan con todos sus datos, y nunca le van a solicitar vía correo electrónico la actualización de los mismos. Si recibe un correo electrónico en nombre de su entidad bancaria con este contenido, debe actuar con precaución, y tener en cuenta que estos correos están diseñados para provocar la confusión en el usuario sobre su origen, de forma que el cliente confíe que el correo electrónico proviene realmente de su entidad bancaria. Estas comunicaciones electrónicas fraudulentas incluyen, entre otras, las siguientes notas comunes: a. Logotipos o fotografías, que intentan dar un aspecto de página corporativa. b. En muchas ocasiones el lenguaje es incorrecto o hay errores tipográficos, debido a que suelen utilizarse traductores automáticos para realizar el envío a diferentes Estados. c. Suele introducirse un enlace a la página web que simula exactamente la página segura de nuestra entidad o servicio de Internet, donde el usuario debe introducir sus claves de acceso. Esa página normalmente no es segura, es decir no se trata de una página certificada mediante SSL. No obstante se han detectado en los últimos meses casos en los que incluso la página Web falsa disponía de certificado SSL para generar mayor confusión en el visitante. 4
¿Qué hacer en caso de recibir un correo electrónico con apariencia de Phishing? En el caso de que reciba un correo electrónico teóricamente enviado por su entidad bancaria y que no sea de su plena confianza, debería sospechar y actuar según las siguientes pautas: a. Nunca conteste a un correo electrónico que no le ofrezca confianza. b. No borre el correo electrónico. Guárdelo en su ordenador ya que puede ser de utilidad como prueba en caso de posible procedimiento judicial o investigación policial. c. En ningún caso haga clic en los posibles enlaces o “links” que pudiera contener el correo electrónico.
Puede llevarnos a sitios web aparentemente reales, pero falsos o descargar ficheros malignos en el
equipo.
No conteste a correos electrónicos cuando dude sobre su procedencia.
d. Póngase en contacto con su oficina bancaria, de tal manera que puedan informar a otros clientes y alertarles sobre la situación. e. Póngase en contacto con los Cuerpos y Fuerzas de Seguridad del Estado, e infórmeles de lo ocurrido.
¿Qué es el Pharming1 ? Es una práctica delictiva en la que el estafador desvía el tráfico de Internet, manipulando las direcciones DNS 2 (Domain Name Server) que utiliza el usuario. A través de esta acción los delincuentes consiguen que las páginas visitadas no se correspondan con las auténticas, sino con otras creadas con la única finalidad e intención de recabar los datos personales de la víctima. Este delito suele cometerse en el ámbito bancario, donde los delincuentes buscan adquirir datos personales para obtener acceso a cuentas bancarias, robar datos identificativos o cometer estafas suplantando la identidad del usuario.
1
Para más información recomendamos visiten www.inteco.es Los servidores DNS son los encargados de conducir a los usuarios a la página que desean ver, “traduciendo” la dirección original del sitio Web.
2
5
Desde el punto de vista jurídico, el pharming es similar al phishing, pues ambos actos son constitutivos del tipo penal de estafa dispuesto en el art. 248 de la Ley Orgánica 10/1995 del Código Penal, que establece que “Quienes con ánimo de lucro, utilizaren un engaño suficiente, que induce al afectado a realizar un acto en perjuicio propio o ajeno serán reos de estafa”. No obstante, el pharming resulta aún mas peligroso que el phishing, puesto que el usuario no es consciente de estar siendo redireccionado a una Web falsa, ni se requiere de una posición activa por su parte, como en el caso del phishing.
¿Cómo podemos evitar el Pharming3? En caso de detectar cualquier tipo de anomalía, diferencia o cualquier cuestión que se salga fuera de lo normal cuando visitemos el sitio web, le recomendamos: a. Poner en conocimiento del servicio de atención al cliente de la empresa tal situación. En este caso recomendamos hacerlo por vía telefónica. b. Disponer en el equipo de herramientas antivirus y firewall actualizados, que eviten la instalación de software que nos redireccione a sitios Web falsos. Por otro lado, el firewall nos permite conocer el tráfico que hay, tanto desde el ordenador hacia Internet, como de Internet al ordenador, detectando los intentos de entrada a nuestro equipo y el nivel de acceso logrado por éste (el sistema operativo Windows XP dispone por defecto de un firewall instalado y activado). c. Disponer de todas las actualizaciones del sistema operativo que se tenga instalado, así como del software utilizado en el equipo, especialmente los navegadores de Internet y programas gestores de correo electrónico. d. Antispam: Existen soluciones en el mercado gracias a las cuales nuestras cuentas de correo electrónico no serán constantemente bombardeadas por correos electrónicos no deseados.
¿Cuáles son las implicaciones jurídicas del phishing y del pharming? Los elementos principales del tipo penal son: a. Ánimo de lucro: El concepto de ánimo de lucro en España es entendido como aquello que busca lograr un beneficio económico. No se incluyen en este concepto aquellos que suponga un beneficio indirecto como cualquier ventaja o satisfacción. b. Manipulación Informática o Artificio semejante: El mencionado concepto introducido por el legislador en el art. 248.2 busca establecer un tipo penal con una acción típica lo más genérica posible, buscando claramente que quepa en ella todo tipo de acciones encaminadas a lograr la estafa.
3
Para más información recomendamos la lectura de www.belt.es
6
Existen diferentes conceptos respecto a qué puede interpretarse como “manipulación informática o artificio semejante”. Puede destacarse el concepto de
Romeo Casabona que entiende que
se trata de la “…incorrecta
modificación del resultado de un procesamiento automático de datos, mediante la alteración de los datos que se introducen o están ya contenidos en el ordenador en cualquiera de sus fases de procesamiento o tratamiento, siempre que sea con ánimo de lucro y perjuicio de tercero4 ...”
Art. 248.2 Código Penal: “aquellos que con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan la transferencia no consentida de cualquier activo patrimonial, en
perjuicio de tercero.”
Por otro lado podemos tomar el concepto acuñado por Gomez Perals que definió las manipulaciones informáticas como la “...supresión, borrado u ocultamiento de datos o introducción de otros falsos, o bien la alteración de las instrucciones que constituyen el programa 5 ..." c. Transferencia no consentida: Uno de los pilares básicos del presente delito es el hecho de que se lleva a cabo una disposición patrimonial, sin consentimiento del titular y por tanto lesivo para el mismo. Partiendo del concepto indicado en el punto b), es de tener en cuenta que pierde cierta importancia por el hecho de que la manipulación informática pueda no suponer una probabilidad real de causar daño al patrimonio del tercero. Sin esta posibilidad factible y probable de causar daño patrimonial, la actividad típica pierde su carga delictiva, no así la intencionalidad y enjuiciamiento en grado de tentativa. Así, “La conducta de la estafa informática no siempre se caracteriza por la alteración del funcionamiento del sistema informático; y mucho menos del resultado que se derivaría de un proceso de datos, ya que en ocasiones la comisión de este delito, ni siquiera requerirá que tales sistemas lleguen a efectuar proceso de tratamiento alguno con respecto a los datos que contienen o que se les introducen, limitándose los mismos a servir de soporte de la representación o anotación de la transferencia producida.”
Es necesario el perjuicio patrimonial del tercero.
“La única exigencia de ineludible cumplimiento de la conducta realizada sobre un sistema informático, para que pudiese ser calificada como constitutiva de una estafa informática propiamente dicha, vendrá constituida por el hecho de que
4
ROMEO CASABONA, C. M. "Delitos informáticos de carácter patrimonial". I y D n.º 9, 10, 11. UNED, Mérida, 1996, pág. 417. 5 GÓMEZ PERALS, M. En "Los delitos informáticos en el Derecho español". En IyD n. 4. Ed. Aranzadi. Mérida 1994, pág. 492.
7
fuese adecuada para determinar una transferencia patrimonial real, efectiva y no consentida6 .” d. Perjuicio patrimonial de tercero: Según la doctrina mayoritaria, para aplicar el tipo penal de la “estafa informática” es necesario que exista un perjuicio real en el patrimonio “económico individual7 ” no bastando con que la acción típica haya puesto en peligro el patrimonio económico de la víctima. Del mismo modo puede implicar un delito de descubrimiento y revelación de secretos del Art. 197 del Código Penal (en adelante CP) ya que las comunicaciones comerciales de la víctima están siendo captadas por parte de un tercero sin autorización expresa para ello, logrando así información considerada como información confidencial y secreta.
¿Cómo podemos detectar que un sitio Web no cumple con los requisitos de seguridad básicos? Debemos dudar siempre de cualquier comunicación vía correo electrónica solicitándonos datos de carácter personal tales como claves de acceso, número de cuenta, etc. En este tipo de páginas hay que observar que la dirección web comience por https://, apareciendo un candado en la parte derecha de nuestra barra del navegador, o en la parte inferior derecha (dependiendo del tipo de navegador que se esté usando) inteligible para terceros sin autorización. El certificado de seguridad nos aporta la siguiente información: vigencia y validez del mismo, verificación de la empresa titular del mismo, verificación de la entidad emisora y el nivel de seguridad que implica. En caso de que no aparezca esta información recomendamos que no realice ninguna operación en el sitio Web, se desconecte del mismo y notifique dicha situación a la entidad en cuestión. Como regla general se recomienda:
6
Galán Muñoz. EL FRAUDE Y LA ESTAFA MEDIANTE SISTEMAS INFORMÁTICOS. Análisis del artículo 248.2 CP. Titulo Epígrafe: b.2) Transferencia no consentida y comisión por omisión en la estafa informática. Publicado en Tirant Online, Doctrina. 7 Tipo particular de Prestador de Servicios de Certificación que se encarga de verificar y legitimar ante los terceros (usuarios) la identidad de un usuario y su clave pública. La intervención de una autoridad de certificación supone la intervención de un tercero de confianza que garantiza la identidad de un sitio web, un emisor de correo electrónico…etc. Concepto de Autoridad de Certificación Wikipedia.
8
a. Disponer de un antivirus (gratuito o de pago) completamente actualizado y activado. b. No instalar en el equipo software que haya sido descargado de sitios Web que consideremos no seguros o descargados de software P2P 8. c. Mantener tanto el sistema operativo, como el software utilizado, completamente actualizado, especialmente en el caso de los navegadores de Internet y gestores de correo electrónico, los cuáles suelen ser frecuentemente vías de ataque de los equipos 9 .
¿Qué es el Hacking y el Cracking? El HACKER es aquel sujeto que se vale de la informática para acceder a un sistema o una red, navegar por el mismo, comprobar sus vulnerabilidades e informar de las mismas a los responsables para que las corrijan o en su caso “apuntarse” un nuevo logro, pero en ningún caso destruir o modificar la información alojada en el sistema. El estimulo de un hacker no es otro que saciar su curiosidad o superar el reto personal de lograr evitar la seguridad del sistema. A pesar de ello, según el Anteproyecto de Reforma del Código Penal publicado el día 15 de Enero de 2007, los hackers pasarán a ser previstos expresamente en el Código Penal. Por otro lado el CRACKER, cuya conducta se caracteriza por acceder a sistemas informáticos de forma no autorizada, del mismo modo que los hackers (acción típica en la que coinciden), pero con una finalidad bien distinta: menoscabar la integridad, disponibilidad y acceso a la información disponible en dicho sitio Web o en el sistema informático. En ambos casos, y siempre que se lleve a cabo sin previa autorización por parte del titular del sistema, se está cometiendo un acto delictivo, ya que ambas actividades violan la intimidad de la víctima y la confidencialidad de la información propiedad del titular.
8
P2P: “Peer to Peer”. Mediante este sistema, formado por nodos y servidores no fijos que se comportan simultáneamente como clientes/proveedores de información, se logra una capacidad de transferencia de información muy elevada, ya que todas las partes actúan como servidores proveedores desde el mismo momento que disponen del archivo en cuestión. 9 En las últimas versiones de Internet Explorer (v.7.0) y Firefox (v.2.0.2), se incorporan de serie herramientas de detección de sitios Web fraudulentos, que avisan al usuario antes de permitir el acceso a los mismos, respecto a la seguridad del sitio Web y respecto a los intentos de acceso fraudulento o descarga no autorizada de software maligno al equipo.
9
Además, en el caso del cracking, se destruyen, causan daños o cambios en la información, así como la inhabilitación de los soportes físicos tales como servidores, discos duros, etc 10 .
¿Cómo podemos evitar el Hacking y el Cracking? Para que nuestro sistema no sea vulnerable a los ataques de hackers y crackers, resulta necesario: a. Disponer de un antivirus y firewall (de pago o gratuito) completamente actualizado. Recomendamos visitar la sección Web del Centro de Alerta Temprana Antivirus de INTECO 11 . b. Contar con el firewall del sistema operativo activado. c. No facilitar a ninguna persona en foros, programas de mensajería instantánea, etc. claves de acceso al router, o a nuestro equipo. d. Utilizar software de escaneo del ordenador específico para detección de virus y software maligno, en especial “spyware” o “puertas traseras” y troyanos. e. Controlar los accesos físicos a nuestro equipo, ya que una gran parte de las vulnerabilidades informáticas provienen de una falta de seguridad a nivel físico. f. Disponer de protección desde el punto de vista lógico, mediante usuarios y contraseñas para nuestro sistema, routers, etc. A la hora de establecer una contraseña debemos tener en cuenta la “robustez” de la misma, atendiendo a las siguientes recomendaciones 12 : -
Usar mayúsculas y minúsculas.
-
Recurrir al uso de tipología ASCII.
-
Como mínimo tener una longitud de 8 elementos.
10
En el preámbulo del proyecto de ley, aparece expresamente la denominación “hacker”. Se modifica el artículo 197. 3 del Código Penal, que en lo sucesivo quedará redactado así: "El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, accediera sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo, será castigado con pena de prisión de seis meses a dos años." Del mismo modo, se incluyen en los artículos 261 y 310 bis lo relativo a la destrucción de archivos informáticos y el diseño de aplicaciones con el fin de defraudar a acreedores o a la Hacienda Pública 11 Centro de Alerta Temprana Antivirus de INTECO: http://www.inteco.es/frontinteco/es/rss.do?action=viewCategory&categoryName=CATA+Ciudadanos&id=6 498 12 Información recabada de "The Simplest Security: A Guide To Better Password Practices", guía básica de seguridad informática.
10
¿Cuáles son las implicaciones jurídicas del Hacking y el Cracking? A continuación procedemos a realizar un breve análisis jurídico del art. 197, apartado primero del Código Penal: El bien jurídico protegido en el art. 197.1 del Código Penal según el Tribunal Supremo lo conforma “no tanto el derecho de propiedad sobre la carta o papel, como el secreto de la correspondencia u otros papeles (se aplica a los documentos electrónicos), secreto que constituye una de las necesidades más vitales de la libertad individual o una parcela importante de las humanas libertades” (STS de 8 de marzo de 1974). Respecto a los sujetos que intervienen en esta relación hay que tener en cuenta que el sujeto activo no requiere de ninguna cualidad especial para ser reo de este delito, mientras que el sujeto pasivo es aquella persona a la que ha sido violada su intimidad. Nos planteamos la posibilidad de que en la información sobre la que se ha accedido se encuentren datos de carácter personal de terceros. En este caso la víctima real del delito no sería este tercero, sino el titular de la información, ocupando el tercero un cargo de mero perjudicado civil, para cuya persecución se requerirá la denuncia del afectado. La acción típica de este delito requiere que el autor lleve a cabo un acto físico dirigido a obtener los datos considerados confidenciales o secretos. Por ello, requerimos de la utilización premeditada de artificios técnicos, con la única finalidad de lograr conocer información confidencial, aprovechándose de la negligencia de un tercero o semejantes.(SAP de Alicante, de 22 de marzo de 1999) A continuación procedemos a realizar un breve análisis jurídico del art. 197, apartado segundo del Código Penal, para lo que nos basaremos en lo anteriormente dicho respecto al art. 197.1 El bien jurídico protegido vuelve a ser de nuevo el secreto de la correspondencia u otros papeles (se aplica a los documentos electrónicos). Del mismo modo, los sujetos participes vuelven a ser de nuevo el actor, que no requiere de ninguna cualidad especial para poder llevar a cabo la acción típica y por otro lado, el sujeto pasivo, que en este caso se trata del titular de los ficheros en los que se encuentran los “datos reservados de carácter personal o familiar” . Por último, la acción típica en este caso requiere del “apoderamiento, acceso, modificación o alteración de datos reservados de carácter personal o familiar”.
11
En un primer lugar es necesario delimitar qué se entiende por datos reservados de carácter personal o familiar, ya que indudablemente se trata de un ámbito más restringido que el protegido por la normativa de protección de datos de carácter personal, Ley Orgánica 15/1999. En palabras del propio Tribunal Supremo, «no todos los datos reservados de carácter personal o familiar pueden ser objeto del delito contra la libertad informática», sino sólo «aquellos datos que el hombre medio de nuestra cultura considera “sensibles” por ser inherentes a su intimidad más estricta, o dicho de otro modo, los datos pertenecientes al reducto de los que, normalmente, se pretende no trasciendan fuera de la esfera en que se desenvuelve la privacidad de la persona y de su núcleo familiar» (STS de 18 de febrero de 1999).
El daño al patrimonio no tiene porqué reportar beneficio económico al delincuente o a un tercero para que el hecho sea constitutivo de delito.
Este tipo de datos íntimos deben encontrarse registrados, anotados o grabados en un fichero de carácter informático o soporte informático13 ( CD, DVD, Pen Drive, etc) Dentro de este tipo delictivo nos encontramos con otros tipos agravados que el legislador ha considerado como hechos de una gravedad superior. Estos son: El hacker y el cracker, una vez dentro del sistema informático puede llevar a cabo diferentes acciones constitutivas de delito. Así, los cracker pueden llevan a cabo acciones típicas constitutivas del delito de daños, regulado en los art. 263 y ss del CP. El bien jurídico protegido en este tipo de delitos es el patrimonio, los bienes o información que haya podido verse dañada por la acción del delincuente. No es necesario que ese daño reporte un beneficio económico al delincuente o a un tercero, sino que basta con que se haya dañado la cosa. El legislador prevé una pena superior para aquellos casos en los que el daño se realizaba sobre datos, información o sistemas informáticos (elementos lógicos y no físicos) ya que entiende que el bien jurídico protegido es mucho más amplio que la mera propiedad de dicha información, previendo los graves daños económicos que puede causar la pérdida o destrucción de este tipo de acciones. Respecto a los sujetos participantes no parece que haya que destacar nada relevante, ya que no muestran ninguna particularidad concreta a la hora de llevar a cabo la acción típica. Por último, la acción típica puede ser llevada a cabo destruyendo, alterando, inutilizando o en su caso dañando de cualquier otro modo, de forma total o parcial los equipos informáticos (art. 263) y los datos, información y sistemas informáticos. (art. 264.2) 13
Art. 3. b) de la Ley Orgánica de Protección de Datos, 15/1999, todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
12
En caso de que la destrucción o inutilización conlleve la desaparición física y a la vez lógica de la información, no se aplicará un concurso real de delitos, sino que en virtud del principio de especialidad, se aplicará el delito establecido en el art. 264.2 del CP. La aplicación de este tipo penal es frecuente cuando en el equipo de un usuario se instala un virus, troyano, bomba lógica o semejante que provoque cualquiera de las acciones típicas indicadas en el tipo penal (destruya, altere, inutilice o en su caso dañe de cualquier modo los datos o la información). Ahora bien, este tipo penal no es de aplicación en los casos en los que se instale un virus o semejante que no destruya, altere o inutilice los datos, programas o documentos electrónicos al que hace referencia el tipo penal, y que exclusivamente cause al usuario incomodidad o retraso a la hora de utilizar el equipo. Ejemplos de este tipo serían, como bien señalan los profesores Orts Berenguer y Roig Torres en su artículo “Delitos informáticos y delitos comunes cometidos a través de la informática” publicado en TirantOnline.com, los «ataques DOS» (Ataques de Denegación de Servicio), que conllevan el bloqueo y la “caída” del servidor informático, provocando así la inoperatividad del mismo, pero sin llegar a destruir o alterar el servidor en cuestión, objeto sobre el que recae el ataque. Especial relevancia otorga el Código Penal en el art. 265 a aquellos casos en los que los daños, destrucción, inutilización (aún temporal) sean provocados, de forma grave “sobre establecimientos o instalaciones militares, buques de guerra, aeronaves militares, medios de transporte o transmisión militar, material de guerra, aprovisionamiento u otros medios o recursos afectados al servicio de las Fuerzas Armadas o de las Fuerzas y Cuerpos de Seguridad, será castigado con la pena de prisión de dos a cuatro años si el daño causado excediere de 300 ”. Por otro lado, ambas acciones típicas pueden llegar a suponer un delito relativo al mercado y los consumidores. Últimamente el tipo penal previsto en el art. 255 del Código Penal está siendo aplicado con frecuencia, ya que la utilización de dispositivos hardware o software para lograr defraudar o aprovecharse de las líneas de telecomunicaciones, gas, agua o electricidad propiedad de terceros cada vez se encuentra más extendida. En el caso que nos ocupa, los delincuentes frecuentemente llevan a cabo el acceso a redes inalámbricas y phishing de direcciones IP (uso de direcciones IP de otros usuarios) para cometer delitos contra terceros sin utilizar su propia IP y evitar, de esta forma, el poder ser detectados 14. Como puede observarse, existe un gran abanico de delitos que podrían ser considerados “delitos informáticos” por la intervención de las nuevas tecnologías para su comisión. No obstante, este listado de delitos va ampliándose constantemente, debido al constante cambio del sector de las TIC.
14
Art. 255 CP. “Será castigado con la pena de multa de tres a 12 meses el que cometiere defraudación por valor superior a 400 euros, utilizando energía eléctrica, gas, agua, telecomunicaciones u otro elemento, energía o fluido ajenos: a. Valiéndose de mecanismos instalados para realizar la defraudación…. b. Empleando cualesquiera otros medios clandestinos.
13
¿Qué podemos considerar “Malware”?
Malware puede ser definido como resultado de la agrupación de las palabras “malicious software” o “software malicioso”. Los más comunes son los virus, gusanos, troyanos y programas de spyware / adware. Este tipo de programas pueden ser creados para llevar a cabo gran cantidad de finalidades, tales como recopilar información confidencial sobre el usuario, lograr controlar un equipo en modo remoto o dañar e incluso inutilizar por completo un equipo.
¿Cómo puedo protegerme del Malware? La naturaleza del malware es variada, pero podemos indicar una serie de medidas básicas y eficaces para protegerse de estos programas malintencionados. Son los siguientes: a. Mantenerse informado respecto a la seguridad en Internet y los últimos casos existentes de fraude y virus 15 . b. No aceptar ningún archivo adjunto que provenga de una dirección que no sea conocida o no nos brinde confianza, ya sea mediante correo electrónico o sistemas de mensajería instantánea. c. Tener instalado software antivirus actualizado. Es muy importante, ya que en caso contrario este pierde su finalidad, la detección del “malware”. d. Mantener actualizado el sistema operativo. Los sistemas operativos mayoritarios contienen sistemas de auto-actualización, que cierran las posibles vulnerabilidades y reducen las posibilidades de que el malware entre en nuestro equipo. e. Disponer del firewall del sistema operativo activado, salvo en caso de que se disponga de una herramienta específica para ello. f. En caso de que el equipo se bloqueé constantemente o se reinicie por sí sólo recomendamos analizar el sistema en busca de virus o malware, así como inspeccionar la lista de procesos activos en el sistema, para detectar posibles procesos no ejecutados por nosotros. (Revisar la lista de software recomendado)
15
Para mantenerse actualizado respecto a virus y amenazas de seguridad, recomendamos visitar con frecuencia http://www.inteco.es
14
¿Qué podemos considerar “Virus” y qué “Gusano"? Este tipo de programas tienen en común la capacidad para auto-replicarse. Pueden “contaminar” con copias de sí mismos el equipo en el que fueron depositados, así como reenviarse a otros equipos vía correo electrónico o mediante software de mensajería instantánea. La diferencia entre el gusano y el virus informático radica en que el gusano opera de forma independiente a otros archivos, mientras que el virus depende de un portador para llegar al equipo y lograr así su objetivo, la mayor difusión posible. Los virus son pequeños programas informáticos adjuntos a un portador (un programa o archivo infectado) que permite que el virus pueda propagarse de un equipo a otro, logrando causar daños en software, hardware y documentos albergados en el equipo.
En la actualidad, los virus son el tipo más extendido de malware, debido en gran parte a la masificación del uso de la Red de Internet, y del correo
La capacidad para añadirse a un programa o archivo aparentemente inofensivo, unido al uso extensivo y masivo del correo electrónico e Internet, han hecho de este tipo de “malware” el más extendido en la actualidad. Los gusanos guardan cierto parecido a los virus, sin embargo éstos no dependen de archivos portadores, sino que se multiplican por sí mismos. Así, los gusanos se propagan sin la intervención del usuario, distribuyendo copias completas de sí mismo por la Red. Este tipo de software, una vez logra acceder a nuestro sistema, toma el control de las herramientas para transferir archivos o información (gestores de correo electrónico, mensajería instantánea, etc.) con el fin de lograr la máxima propagación posible a través de la Red.
¿Qué son los Troyanos? Un “caballo de troya” es una pieza de software malicioso disfrazado bajo la imagen de software legítimo. Los caballos de troya no tienen capacidad para replicarse por sí mismos. Ahora bien, el principal peligro es que son capaces de alojarse en equipos y permitir el acceso a usuarios externos sin autorización, mediante el uso de “puertas traseras” que dan acceso en muchos casos al equipo completo, permitiendo recabar información o controlar remotamente la máquina anfitriona, pero sin afectar al funcionamiento de ésta y sin que el usuario se de cuenta de ello.
15
Mediante este tipo de herramientas un tercero no autorizado podría acceder a nuestro equipo y utilizarlo plenamente como si estuviera frente al teclado, esto incluye hacer capturas de pantalla, descargarse archivos del ordenador de la víctima, ver, manipular, copiar, añadir o borrar archivos del ordenador de la víctima, activar su webcam o manejar el ratón, entre otras muchas finalidades .
¿Cuáles son las implicaciones jurídicas del malware? Todas las versiones de malware anteriormente indicadas conllevan una serie de repercusiones jurídicas. El uso de malware para acceder a un equipo informático o a la información lógica puede suponer la comisión de un delito de descubrimiento y revelación de secretos, penado por el Art.197 del CP y ya comentado en las anteriores páginas. Siempre que se produzca el acceso, o se conozca la información de carácter privado que se encuentra almacenada en su sistema y que no puede haber sido difundida por otra persona, estaremos ante la comisión del delito de descubrimiento y revelación de secretos. Hay que resaltar como el legislador español, con fecha de 15 de enero de 2007, ha publicado el Anteproyecto de Ley Orgánica por la que se modifica la Ley Orgánica 10/1995 (Código Penal. Lo destacable desde el punto de vista aquí analizado, es que el legislador ha entrado a regular expresamente las acciones de los hackers, cumpliendo así con lo dispuesto en la Decisión Marco 2005/222/JAI del Consejo de la Unión Europea de 24 de febrero de 2005, relativa a los ataques contra los sistemas de información. Esta modificación hace que se añada al artículo 197 un nuevo apartado que castiga a “el que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, accediera sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo, será castigado con la pena de prisión de seis meses a dos años” (art. 197.3 del Proyecto de reforma). Por otro lado, la reforma prevé un aumento de pena para el caso de que dicha actividad delictiva fuera cometida “en el seno de una organización criminal”. Por otro lado, cabe destacar la facilidad de que este tipo de software llegue a provocar daños sobre el hardware o sobre aplicaciones, incurriendo en tal caso su autor en un delito de daños tipificado en el Art. 263 y ss del CP que ya ha sido comentado en la página 13 del presente documento.
16
Debemos destacar la gran versatilidad a la hora de programar este tipo de programas. Esto provoca que dependiendo de la finalidad con la que se hayan programado, los delitos cometidos puedan ser unos u otros, debiendo atender a las circunstancias concretas de cada caso.
¿A quién puedo dirigirme en caso ser víctima de este tipo de delitos? En caso de ser víctima de cualquiera de estas actividades delictivas y especialmente en aquellos casos en los que haya existido un daño económico para nuestro patrimonio o se haya vulnerado nuestra intimidad, se debe interponer denuncia ante las Fuerzas y Cuerpos de Seguridad, así como comunicarlo en su caso al departamento de delitos telemáticos. Actualmente en España existen varias instituciones con grupos específicos:
GRUPO DE DELITOS TELEMÁTICOS DE LA GUARDIA CIVIL El GDT dispone de personal especializado en la persecución de los autores de delitos informáticos Los datos de contacto de este grupo especializado son: C/Guzmán El Bueno, 110 28003 Madrid (España) e-mail: delitostelematicos@guardiacivil.org Telf: 91 514 64 00
POLICIA NACIONAL La Policía Nacional dispone de la Unidad de Investigación de la Delincuencia en Tecnologías de la Información, que se encuentra operativa las 24 horas del día. En esta unidad se persiguen e investiga, por personal altamente cualificado, los delitos cometidos mediante el uso de las nuevas Tecnologías de la Información Los datos de contacto de esta unidad especializada son:
CENTRO POLICIAL DE CANILLAS C/Julián González Segador, s/n, 28043 – Madrid / e-mail: delitos.tecnologicos@policia.es Telf: 91 582 27 51 / Telf: 91 582 23 07
ERTZAINTZA Al igual que las Fuerzas y Cuerpos de Seguridad del Estado, la Comunidad Autónoma del País Vasco, ha creado un grupo especializado en "delincuencia informática", denominado Sección Central de Delitos en Tecnologías de la Información, (SCDTI).
17
Se puede contactar con ellos a través de: Web: www.ertzaintza.net e-Mail: delitosinformaticos@utap.ej-gv.es
MOSSOS D´ ESQUADRA Al igual que las Fuerzas y Cuerpos de Seguridad del Estado, la Comunidad Autónoma de Cataluña, ha creado un grupo especializado en delitos telemáticos dedicados a la persecución de este tipo de delitos a través de la Red.
Conclusiones Generales El uso de Internet o del comercio electrónico no resulta más peligroso que cualquiera de las actividades que llevamos a cabo en nuestra vida real. Nos conviene: a. Ser conscientes de que existen peligros y delincuentes que pretenden lucrarse con sus actividades. b. No proporcionar datos de carácter personal, datos de acceso a cuentas bancarias o de acceso a cuentas de correo. c. Desconfiar de sitios Web en los que se solicitan datos bancarios sin disponer de certificados de seguridad del sitio Web. d. Estar informados de los peligros existentes y de cuáles son los más activos en cada momento ya que, al igual que en la vida real, los delincuentes y sus medios se renuevan continuamente. e. Mantener activados y actualizados los principales medios para evitar todos estos problemas. Los principales son: -
Uso de antivirus activado y actualizado. En el mercado existen una enorme cantidad de antivirus que se ajustan a las necesidades tanto del usuario particular como a nivel empresa.
-
Uso de Firewall mediante el que podremos controlar el tráfico de entrada y salida de nuestro ordenador.
-
Actualización constante de nuestro Sistema Operativo y software cotidiano.
18