Nuevo impulso a las reformas legales contra cyberdelincuentes

Los recientes ataques a webs del gobierno y de entidades culturales españolas cometidos por un grupo activista con sede en Estados Unidos han reactivado la alarma social sobre la vulnerabilidad de las redes y reforzado la necesidad de acometer reformas legales que dificulten y persigan la comisión de este tipo de delitos informáticos.

La semana pasada el grupo de ciberactivistas “Anonymous“, que -según Tieve.tk– opera en el portal americano 4Chan llevó a cabo un ataque grave de Denegación de Servicios Distribuido (DDoS) contra una de las páginas web del Gobierno de España (Ministerio de Cultura), y contra algunas sociedades que representan y defienden a una parte importante de nuestro sector cultural. El ataque respondía a un “enfado” del grupo por el cierre de páginas web de descarga ilegal de obras ajenas o que facilitaban de forma flagrante dichas descargas.

Con objeto de garantizar la seguridad de las infraestructuras informáticas españolas frente a futuros ataques, la Administración Pública, apoyada por el Consejo Nacional Consultivo de Cyberseguridad (CNCCS), ha impulsado el desarrollo de una legislación coherente con el medio digital que complementa al articulado ya existente sobre la materia en la normativa civil y penal.

El primer hito en la detención y sanción de actividades ilegales tendrá lugar el próximo 22 de diciembre con la entrada en vigor de la reforma del código penal, que incluirá –según informa en su blog mi compañero asesor del CNCCS, Javier Villacañas– los siguientes párrafos (Artículo 264 del Código Penal):

  • El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese, o hiciese inaccesibles datos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a dos años.
  • El que por cualquier medio, sin estar autorizado y de manera grave obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno, introduciendo, transmitiendo, dañando, borrando, deteriorando, alterando, suprimiendo o haciendo inaccesibles datos informáticos, cuando el resultado producido fuera grave, será castigado, con la pena de prisión de seis meses a tres años

Estaremos atentos al desarrollo de estas iniciativas y su repercusión práctica.

En tanto en cuanto no entre en vigor dicha reforma, los tribunales enjuiciarán con base en el actual artículo 264 del código penal (“será castigado con la pena de prisión de uno a tres años y multa de doce a veinticuatro meses el que […] por cualquier medio destruya, altere, inutilice o de cualquier otro modo dañe los datos, programas o documentos electrónicos ajenos contenidos en redes, soportes o sistemas informáticos”). Y, en cualquier caso, seguirá siendo de aplicación, cuando proceda, el artículo 1902 del Código Civil (“el que por acción u omisión causa daño a otro, interviniendo culpa o negligencia, está obligado a reparar el daño causado”).

¿Crees que estas reformas combaten de forma efectiva la cyberdelincuencia? ¿Qué alternativas sugieres? (los comentarios serán trasladados al CNCCS)

Donate Dogecoins: D6FeXYibky3XY5Pq8ig5BPdM9RECthAmQw Whats This?
Dejar un comentario?

14 Comentarios.

  1. Hmmm… Sobre el papel, la reforma del derecho penal sustantivo será más que útil contra los DoS. Sobre todo, si se tiene en cuenta el precedente del archivo provisional del affaire Genbeta & Menéame.

    Ahora bien, existen muchas lagunas procesales a la hora de investigar eficientemente un DoS.

    Y en cuanto a la posibilidad de encajar el asunto del DDoS contra SGAE y Ministerio de Cultura en la redacción del nuevo artículo 264, ahí hay mucha tela que cortar. Si se puede identificar a un promotor del ataque, se le podrá enjuiciar como instigador. Pero a cada uno de los partícipes a título individual… Uf, será difícil.

  2. Álvaro Del Hoyo

    Pablo,

    En relación con la Decisión marco que da origen a los “nuevos delitos” que comentas en el post, ten en cuenta que se está desarrollando una propuesta de Directiva que pretende incluir como agravantes de estas prácticas delictuales temas como los ataques tipo Stuxnet contra infraestructuras críticas o la suplantación de identidad como medio de evitar o dificultar la identificación de los autores, es decir, botnets y similares

    Un saludo

  3. Errr… Perdón, Álvaro, estoy completamente a favor de incluir la suplantación de identidad de alguna manera como supuesto típico, ya que ahora mismo no está en el Código. Pero, ¿me puedes explicar cómo puedes encajar un DDoS ejecutado mediante botnets como supuesto de suplantación de identidad? Digo de una manera que un juez de este plano de la realidad te lo acepte, claro.

  4. Aviso para navegantes: Álvaro y Jorge se refieren (creo, y si no que me corrijan) a una suplantación diferente en esencia a la del 401 y la del 620.2 del CP, pensadas únicamente para casos de usurpación de estado civil en sentido estricto -según SAP Toledo de 26 marzo de 2009- y como usurpación leve en forma de vejación injusta, respectivamente. Me da que se refieren a otra más cercana a la suplantación como medio de ocultación de identidad, similar en parte -mutatis mutandi para evitar consecuencias aberrantes- al tipo del derogado artículo 322 (delito de uso público de nombre supuesto) del derogado Código penal de 1973.

  5. Álvaro Del Hoyo

    Buenas, Jorge

    Muy sencillo. Se trata de la suplantación de tu dirección IP, un identificador.

    Te infectan, te agregan a la botnet, usan tu ordenador para cometer un delito, tu dirección IP es trazada como origen del ataque, orden judicial para que operador suelte tus datos identificativos, detección de la botnet. Rastro oculto, tiempo perdido por la policía y perjuicios para tí por verte en semejante película.

    Viene a ser algo así como la antigua agravante por nocturnidad, disfraz

    http://supremo.vlex.es/vid/disfraz-agravante-pena-17710194

    Por otra parte, realmente hace falta un tipo específico para la suplantación de identidad?

    No estoy de acuerdo. Es realmente relevante como para que el principio de ultima ratio no nos invite más bien a reconocer la suplantación de identidad como un agravante de delitos de estafa, falsificación documental,…, en definitiva, el objetivo final del suplantador?

    Un saludo

  6. Álvaro Del Hoyo

    Pablo,

    En el comentario anterior creo ya haberlo explicado, pero casi nos los hemos cruzado.

    Usurpar el estado civil es algo más intenso. Se trata de hacerse con la identidad de una persona ejerciendo como tal en todos los frentes, de una forma continuada en el tiempo,… por ejemplo presentarse como un ausente y una vez reconocido erróneamente como tal disfrutar de su patrimonio; pretender ser un fallecido de cuyo fallecimiento no tiene constancia la Seguridad Social y beneficiarse de las prestaciones que a aquél que le correspondiesen mientras viviera,…

    No creo que Jorge se refiriera tampoco a la usurpación del estado civil, sino a cosas similares a la suplantación de la IP tales como suplantar la identidad de un famoso en una red social, suplantar la identidad de un cliente de un banco para hacer transferencias fraudulentas en el caso del phishing,…

    Un saludo

  7. A eso iba, Alvaro. Al final de mi comentario, te retaba a dar encaje a esa figura de forma que un juez de este plano de la realidad lo acepte. Nótese el sutil matiz irónico.

    Para empezar, niego la mayor: el operador de una botnet no suplanta la IP del bot, sino que utiliza la máquina afectada como herramienta para su ataque, pero la dirección IP es real. Lo que resulta forzado es la voluntad del legítimo propietario del terminal afectado, que no ha dado su consentimiento. Otra cosa sería que el operador lanzase el ataque desde una IP propia, pero hiciese aparecer de forma falsaria la IP del afectado. Ahí sí que se produciría un falseamiento

    En cualquier caso, que un juez acepte “dirección IP” como equivalente a identidad suplantada es un reto que va a requerir mucho más que un párrafo de la LOPD o de su reglamento. La judicatura vive en otro mundo. Créeme, que trabajo con ellos todos los días, y todavía les cuesta entender el concepto de redes P2P.

    Efectivamente, me refería a suplantación de identidad en redes sociales, para comisión de delitos patrimoniales, etc. Y no, no veo estrictamente indispensable un tipo específico, siempre que se recoja como agravante genérica de otro tipo de delitos. Pero es que, a día de hoy, no hay nada de nada. Yo, como fiscal, he conseguido una condena en un supuesto de estos calificando la creación de la cuenta falsa a nombre de un tercero como falsedad en documento mercantil, pero eso sí que va a ser un supuesto polémico.

  8. Álvaro Del Hoyo

    En cuanto a lo del antiguo delito de uso público de nombre supuesto me temo que nos daríamos de frente con el principio de interpretación restrictiva

    Un saludo

  9. Álvaro Del Hoyo

    Jorge,

    Suplantando tu dirección IP, un identificador, suplantan tu identidad, se valen de un medio para facilitar la impunidad de sus actos.

    Evidentemente, en la suplantación de identidad que se produce una botnet no se produce una estafa ni una falsedad documental, sino que es un medio para ocultar la traza hasta el delincuente, que habrá cometido un delito de daños, estragos, estafa.

    Creo que encaja perfectamente en el art 22.2 Código Penal

    “Ejecutar el hecho mediante disfraz, con abuso de superioridad o aprovechando las circunstancias de lugar, tiempo o auxilio de otras personas que debiliten la defensa del ofendido o faciliten la impunidad del delincuente”

    Ello sin perjuicio de que no estaría de más, como parece que puede sucede en el futuro, se incluyan expresamente en los tipos de los artículos con indicación expresa de la proporción en que aumenta la pena.

    http://europa.eu/rapid/pressReleasesAction.do?reference=MEMO/10/463&format=HTML&aged=0&language=EN&guiLanguage=en

    Fíajte al final de este sitio cuando dice:

    “(iii) committed by concealing the real identity of the perpetrator and causing prejudice to the rightful identity owner (not included under Framework Decision 2005/222/JHA)”

    Para mí lo ideal es que se incluyeran los perjuicios al suplantado, pero también a terceros. Por ejemplo, estafados mediante un perfil falso de un personaje famoso.

    No creo que los Jueces sean tan obtusos ni que vivan en una burbuja aislada de la realidad. Creo que se trata de una labor conjunta jueces, policías, fiscales, abogados, peritos,… y en ella tenemos que colaborar todos para que no se den de nuevo los problemas que apuntas.

    Un saludo

  10. Me temo que estamos hablando de cosas distintas. Estoy de acuerdo en que, si hablamos de phishing, un ordenador infectado por un troyano puede servir para que la petición realizada por el “malo” se replique desde una dirección IP distinta al origen, ocultando el mismo. Ese sí podría ser un caso de suplantación, insisto, si se consigue hacer entender a la Jurisprudencia que un dato tan nimio y mutable como la dirección IP puede equivaler a la identidad completa de una persona. Lo veo difícil.

    Pero la cuestión que yo te planteé es otra muy distinta. En un ataque DDoS a través de una botnet, el operador de la botnet no suplanta nada, ni oculta nada. Toma el control de ordenadores ajenos, es cierto, pero el ataque lanzado se produce desde la dirección IP auténtica del ordenador esclavizado. Lo que se vulnera aquí no es la identidad, sino la voluntad del legítimo titular, que ve como su equipo deja de obedecer sus ordenes. Se trata de un caso de autoría mediata, no de suplantación de identidad.

    Y lo de equiparar el disfraz, prenda que sirve para desfigurar el rostro o las facciones, con la dirección IP, me parece una interpretación extensiva que la inmensa mayoría de los jueces no iban a aceptar, cuando no una analogía claramente prohibida por el artículo 4.

    Tu último párrafo me parece una hermosa declaración de intenciones. Es mi lucha diaria, en los juzgados, en la Audiencia, incluso en el Supremo, donde ya han llegado varios de mis casos, aunque no haya tenido la oportunidad de defenderlos en persona (para eso está la Fiscalía del TS). Conozco el percal, conozco el carácter de los jueces. Y no digo que todos sean obtusos, o directamente de la era analógica. Pero muchos sí. Demasiados. Por ello me implico en dar cursos, Pablo puede atestiguarlo, tanto a jueces, como a abogados, a fiscales, a policías y a peritos. Este año he impartido ponencias a todos esos colectivos profesionales. Por eso tengo una percepción directa y de primera mano de como esta el panorama a pie de estrados.

  11. Lo atestiguo, Jorge, y con mucho gusto. La ponencia que diste sobre aplicación práctica en los juzgados del Derecho a la realidad tecnológica-delictiva fue, además, una de las mejores a las que he asistido.

  12. Álvaro Del Hoyo

    Una pena no poder estar presencialmente para tratar el asunto como merece.

    Creo que el debate era tal y como yo lo introducía si la suplantación de identidad ha de ser tipificado como un nuevo delito en sí mismo o mediante una modificación del delito de usurpación del estado civil; o si quizás es más correcto considerar como agravante de los delitos cometidos (y ya tipificados) el hecho de ocultarse detrás de unos datos para ocultar el rastro facilitando la impunidad de los delincuentes.

    Evidentemente, si optáramos por lo primero sería muy conveniente definir qué es identidad, o describir las condiciones en las que se ha de entender que se produce la suplantación de identidad.

    La identidad no es sólo el nombre y apellidos, sino que la identidad es un conjunto de rasgos propios y de los colectivos a los que pertenecemos que nos hacen únicos, nos permite diferenciarnos de los demás. Y eso es lo que sucede con una dirección IP, nos diferencia de los demás porque al final hay un operador que puede identificar a una persona aunque siempre teniendo en cuenta los problemas de prueba que ello presenta: direcciones ip de empresas o AA.PP, direcciones ip de cibercafés, varios usuarios empleando el mismo ordenador, posibilidad de que la wifi estuviera abierta o crackeada.

    Pero si se da una investigación de un phishing o de un DDoS empleando una botnet, el uso de los bots vale para perpetrar el delito (donde interviene la autoría mediata que mencionas) usando recursos de los bots como pasa en el caso del DDoS), pero también para camuflar el rastro de los delincuentes.

    No se trata de reconducirlo al disfraz, sino más bien a “ejecutar el hecho…aprovechando las circunstancias de lugar, tiempo o auxilio de otras personas que…faciliten la impunidad del delincuente”

    Ahí es donde creo que se acierta con la orientación que parece tendrá la propuesta de directiva: lo trata como agravante y habla de ocultarse tras los datos de otro.

  13. Álvaro Del Hoyo

    Esto sería un claro ejemplo de usurpación del estado civil

    http://www.examiner.com/identity-theft-in-national/nicky-diaz-who-is-telling-the-truth

  14. La suplantación de identidad de las redes es algo “habitual” y dificil de verificar y justificar. Se llegara…

Deja un comentario