• Home

  • Documents

  • Resoyesta Juridica Frente a los Ataques Informaticos
18
Guías Legales LA RESPUESTA JURÍDICA FRENTE A LOS ATAQUES CONTRA LA SEGURIDAD DE LA INFORMACIÓN OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN Área Jurídica de la Seguridad y las TIC

Resoyesta Juridica Frente a los Ataques Informaticos

Embed Size (px)

DESCRIPTION

LA RESPUESTA JURÍDICA FRENTE A LOS ATAQUES CONTRA LA SEGURIDAD DE LA INFORMACIÓN

Citation preview

  • Guas Legales

    LA RESPUESTA JURDICA FRENTE A LOS ATAQUES CONTRA LA SEGURIDAD

    DE LA INFORMACIN

    OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIN rea Jurdica de la Seguridad y las TIC

  • 2

    Aspectos Generales

    Con esta gua pretendemos sacar a la luz cules son los principales problemas y peligros que existen en el uso de las Nuevas Tecnologas, especialmente en Internet y darles una visin jurdica.

    La cuestin de la denominada eConfianza es bsica para lograr la plena implantacin de las TIC en la sociedad actual. Para ello, es necesario el conocimiento y formacin respecto a los delitos ms habituales en el entorno informtico, ya que mediante sta ser mucho ms sencillo lograr la confianza plena de la sociedad en el uso de las Nuevas Tecnologas (en adelante NN.TT).

    Si bien el elemento tcnico es esencial, hay que tener en cuenta que una gran parte de la e-Confianza viene dada por el elemento jurdico o legal. Ambos mecanismos son esenciales y pilares bsicos para lograr la generacin de confianza en la Red.

    El uso de herramientas informticas ha dotado de nuevos medios a los tradicionales delincuentes, que llevan a cabo los delitos de siempre, mediante instrumentos diferentes.

    La seguridad jurdica en el sector informtico se ve amenazada por dos frentes principalmente.

    Por una parte, actividades ilcitas que utilizan medios informticos para poder ser llevadas a cabo. En este grupo incluiremos el phishing, el pharming o el scaming.

    Por otra parte, encontramos toda una serie de aplicaciones, que mediante la instalacin en el equipo

    Seguridad y informtico, puede acarrear graves problemas de eConfianza seguridad y estabilidad en el sistema del usuario. Entre ellos, cabe destacar: virus, troyanos, gusanos, son pilares etc. Este tipo de aplicaciones se denomina bsicos del genricamente malware o cdigo malicioso"

    comercio Esta gua legal ofrece una visin general de lo que implica la seguridad informtica y la e-confianza en

    electrnico. Internet. En todo caso, se recomienda la lectura detenida de las sucesivas guas especficas sobre cada uno de los delitos informticos presentados en esta gua.

    A continuacin se lleva a cabo un breve anlisis respecto a dos de las principales figuras delictivas en el marco electrnico, ambas relativas al fraude informtico.

  • Qu es el Phishing?

    El phishing es una estafa llevada a cabo mediante tcnicas de ingeniera social en las que el estafador, o phisher, intenta conseguir informacin confidencial (contraseas, datos bancarios, etc) de forma fraudulenta.

    El estafador o phisher suplanta la personalidad de una persona o empresa de confianza. El objetivo de esta accin es que el receptor de una comunicacin electrnica aparentemente legtima (va correo electrnico, fax, sms o telefnicamente), confe en la veracidad de sta y facilite datos privados de acceso a cuentas bancarias, o en su caso, cuentas de correo, servidores, etc.

    Dicha comunicacin electrnica supone una modalidad muy peligrosa de spam (comunicacin comercial no deseada) que no solamente satura nuestro correo electrnico y servidores, sino que resulta un autentico peligro para la integridad y confidencialidad de los datos privados del receptor.

    Los medios que utiliza el phisher son muy diversos.

    Normalmente, utiliza el envo de correos electrnicos

    fraudulentos a clientes de entidades financieras o de naturaleza semejante (eBay, PayPal, etc.), as como correos fraudulentos que contienen troyanos.

    Estos programas logran el control absoluto del equipo en el que son instalados, logrando obtener claves de acceso y datos bancarios directamente desde un equipo.

    Otra variante consiste en que el phisher que logra que la vctimaapariencia

    visite una exactamente

    pgina web falsa con igual al sitio web legtimo, El Phishing

    provoca que el usuario navegue sin dudar de la seguridad de la misma.

    ltimamente, se han detectado nuevas modalidades de phishing que vienen enmascaradas como ofertas de

    puede ser constitutivo de un delito de

    trabajo muy beneficiosas, solicitud de donaciones a ONGs falsas, etc. Estos correos tienen la clara

    estafa. finalidad de captar los datos personales de los usuarios, especialmente los datos bancarios.

    Cmo evitar ser vctima del phishing ?

    Como primera medida, en caso de que sospechemos haber sido vctimas de phishing, se lo comunicaremos a la entidad financiera correspondiente.

    Las entidades financieras no suelen hacerse responsables de este tipo de estafas, ya que en la mayor parte de los casos se ha debido a una falta de diligencia por parte del usuario, que ha facilitado sus datos de acceso a un desconocido que se lo solicitaba a travs de la Red.

    3

  • A continuacin se muestra un caso real de Phishing: (Diciembre de 2006)

    Estimado cliente,

    Es muy importante y obligatorio a leer!

    Posiblemente Usted not que la semana pasada nuestro sitio www.xxxx.es funcionaba

    inestable y se observaban frecuentes intermitencias.

    Hemos renovado nuestras instalaciones bancarias y ahora el problema est resuelto.

    Pero para activar un sistema nuevo de proteccin de los datos y una capacidad de

    trabajo correcta de sus cuentas bancarias, le pedimos a Usted introducir los detalles

    completos de la cuenta para que podamos renovar nuestra base de los clientes y

    comprobar la capacidad de trabajo de nuestro nuevo sistema de proteccin de los

    datos.

    Si Usted no activa su cuenta bancaria, no va a tener las posibilidades

    complementarias de la defensa de seguridad en su cuenta.

    La mejor manera de defendernos de estos ataques es conociendo los medios que utilizan los autores, usar el sentido comn y ayudarnos de una serie de tcnicas de deteccin que garantizarn que no caeremos en esta modalidad de estafa electrnica.

    Cmo saber que un e-mail es un caso de Phishing? Lo primero que debe tenerse en cuenta es que las entidades bancarias cuentan con todos sus datos, y nunca le van a solicitar va correo electrnico la actualizacin de los mismos.

    Si recibe un correo electrnico en nombre de su entidad bancaria con este contenido, debe actuar con precaucin, y tener en cuenta que estos correos estn diseados para provocar la confusin en el usuario sobre su origen, de forma que el cliente confe que el correo electrnico proviene realmente de su entidad bancaria.

    Estas comunicaciones electrnicas fraudulentas incluyen, entre otras, las siguientes notas comunes:

    a. Logotipos o fotografas, que intentan dar un aspecto de pgina corporativa.

    b. En muchas ocasiones el lenguaje es incorrecto o hay errores tipogrficos, debido a que suelen utilizarse traductores automticos para realizar el envo a diferentes Estados.

    c. Suele introducirse un enlace a la pgina web que simula exactamente la pgina segura de nuestra entidad o servicio de Internet, donde el usuario debe introducir sus claves de acceso. Esa pgina normalmente no es segura, es decir no se trata de una pgina certificada mediante SSL.

    No obstante se han detectado en los ltimos meses casos en los que incluso la pgina Web falsa dispona de certificado SSL para generar mayor confusin en el visitante.

    4

  • Qu hacer en caso de recibir un correo electrnico con apariencia de Phishing? En el caso de que reciba un correo electrnico tericamente enviado por su entidad bancaria y que no sea de su plena confianza, debera sospechar y actuar segn las siguientes pautas:

    a. Nunca conteste a un correo electrnico que no le ofrezca confianza.

    No conteste a b. No borre el correo electrnico. Gurdelo en su

    ordenador ya que puede ser de utilidad como correos prueba en caso de posible procedimiento judicial o electrnicos investigacin policial. cuando dude

    c. En ningn caso haga clic en los posibles enlaces sobre su o links que pudiera contener el correo electrnico.

    Puede llevarnos a sitios web aparentemente reales, procedencia.

    pero falsos o descargar ficheros malignos en el

    equipo.

    d. Pngase en contacto con su oficina bancaria, de tal manera que puedan informar a otros clientes y alertarles sobre la situacin.

    e. Pngase en contacto con los Cuerpos y Fuerzas de Seguridad del Estado, e infrmeles de lo ocurrido.

    Qu es el Pharming1 ? Es una prctica delictiva en la que el estafador desva el trfico de Internet, manipulando las direcciones DNS 2 (Domain Name Server) que utiliza el usuario.

    A travs de esta accin los delincuentes consiguen que las pginas visitadas no se correspondan con las autnticas, sino con otras creadas con la nica finalidad e intencin de recabar los datos personales de la vctima.

    Este delito suele cometerse en el mbito bancario, donde los delincuentes buscan adquirir datos personales para obtener acceso a cuentas bancarias, robar datos identificativos o cometer estafas suplantando la identidad del usuario.

    1 Para ms informacin recomendamos visiten www.inteco.es 2 Los servidores DNS son los encargados de conducir a los usuarios a la pgina que desean ver, traduciendo la direccin original del sitio Web.

    5

  • Desde el punto de vista jurdico, el pharming es similar al phishing, pues ambos actos son constitutivos del tipo penal de estafa dispuesto en el art. 248 de la Ley Orgnica 10/1995 del Cdigo Penal, que establece que Quienes con nimo de lucro, utilizaren un engao suficiente, que induce al afectado a realizar un acto en perjuicio propio o

    ajeno sern reos de estafa.

    No obstante, el pharming resulta an mas peligroso que el phishing, puesto que el usuario no es consciente de estar siendo redireccionado a una Web falsa, ni se requiere de una posicin activa por su parte, como en el caso del phishing.

    Cmo podemos evitar el Pharming3? En caso de detectar cualquier tipo de anomala, diferencia o cualquier cuestin que se salga fuera de lo normal cuando visitemos el sitio web, le recomendamos:

    a. Poner en conocimiento del servicio de atencin al cliente de la empresa tal situacin. En este caso recomendamos hacerlo por va telefnica.

    b. Disponer en el equipo de herramientas antivirus y firewall actualizados, que eviten la instalacin de software que nos redireccione a sitios Web falsos. Por otro lado, el firewall nos permite conocer el trfico que hay, tanto desde el ordenador hacia Internet, como de Internet al ordenador, detectando los intentos de entrada a nuestro equipo y el nivel de acceso logrado por ste (el sistema operativo Windows XP dispone por defecto de un firewall instalado y activado).

    c. Disponer de todas las actualizaciones del sistema operativo que se tenga instalado, as como del software utilizado en el equipo, especialmente los navegadores de Internet y programas gestores de correo electrnico.

    d. Antispam: Existen soluciones en el mercado gracias a las cuales nuestras cuentas de correo electrnico no sern constantemente bombardeadas por correos electrnicos no deseados.

    Cules son las implicaciones jurdicas del phishing y del pharming? Los elementos principales del tipo penal son:

    a. nimo de lucro: El concepto de nimo de lucro en Espaa es entendido como aquello que busca lograr un beneficio econmico. No se incluyen en este concepto aquellos que suponga un beneficio indirecto como cualquier ventaja o satisfaccin.

    b. Manipulacin Informtica o Artificio semejante: El mencionado concepto introducido por el legislador en el art. 248.2 busca establecer un tipo penal con una accin tpica lo ms genrica posible, buscando claramente que quepa en ella todo tipo de acciones encaminadas a lograr la estafa.

    Para ms informacin recomendamos la lectura de www.belt.es

    6

    3

  • Existen diferentes conceptos respecto a qu puede interpretarse como manipulacin informtica o artificio semejante.

    Puede destacarse el concepto de

    Romeo Casabona que entiende que

    se trata de la incorrecta

    Art. 248.2 Cdigo Penal: modificacin del resultado de un

    aquellos que con nimo de procesamiento automtico de datos,

    lucro y valindose de alguna mediante la alteracin de los datos

    manipulacin informtica o que se introducen o estn ya artificio semejante, consigan contenidos en el ordenador en la transferencia no cualquiera de sus fases de consentida de cualquier procesamiento o tratamiento, activo patrimonial, en

    siempre que sea con nimo de lucro perjuicio de tercero.

    y perjuicio de tercero4 ...

    Por otro lado podemos tomar el concepto acuado por Gomez Perals que defini las manipulaciones informticas como la ...supresin, borrado u ocultamiento de datos o introduccin de otros falsos, o bien la alteracin de las instrucciones que constituyen el programa 5 ..."

    c. Transferencia no consentida: Uno de los pilares bsicos del presente delito es el hecho de que se lleva a cabo una disposicin patrimonial, sin consentimiento del titular y por tanto lesivo para el mismo.

    Partiendo del concepto indicado en el punto b), es de tener en cuenta que pierde cierta importancia por el hecho de que la manipulacin informtica pueda no suponer una probabilidad real de causar dao al patrimonio del tercero. Sin esta posibilidad factible y probable de causar dao patrimonial, la actividad tpica pierde su carga delictiva, no as la intencionalidad y enjuiciamiento en grado de tentativa.

    As, La conducta de la estafa informtica no siempre se caracteriza por la alteracin del funcionamiento del

    sistema informtico; y mucho menos del resultado que Es necesario se derivara de un proceso de datos, ya que en el perjuicio ocasiones la comisin de este delito, ni siquiera

    requerir que tales sistemas lleguen a efectuar proceso patrimonial de tratamiento alguno con respecto a los datos que del tercero. contienen o que se les introducen, limitndose los

    mismos a servir de soporte de la representacin o

    anotacin de la transferencia producida.

    La nica exigencia de ineludible cumplimiento de la conducta realizada sobre un

    sistema informtico, para que pudiese ser calificada como constitutiva de una

    estafa informtica propiamente dicha, vendr constituida por el hecho de que

    ROMEO CASABONA, C. M. "Delitos informticos de carcter patrimonial". I y D n. 9, 10, 11. UNED, Mrida, 1996, pg. 417.5 GMEZ PERALS, M. En "Los delitos informticos en el Derecho espaol". En IyD n. 4. Ed. Aranzadi. Mrida 1994, pg. 492.

    7

    4

  • fuese adecuada para determinar una transferencia patrimonial real, efectiva y no consentida6 .

    d. Perjuicio patrimonial de tercero: Segn la doctrina mayoritaria, para aplicar el tipo penal de la estafa informtica es necesario que exista un perjuicio real en el patrimonio econmico individual7 no bastando con que la accin tpica haya puesto en peligro el patrimonio econmico de la vctima.

    Del mismo modo puede implicar un delito de descubrimiento y revelacin de secretos del Art. 197 del Cdigo Penal (en adelante CP) ya que las comunicaciones comerciales de la vctima estn siendo captadas por parte de un tercero sin autorizacin expresa para ello, logrando as informacin considerada como informacin confidencial y secreta.

    Cmo podemos detectar que un sitio Web no cumple con los requisitos de seguridad bsicos?

    Debemos dudar siempre de cualquier comunicacin va correo electrnica solicitndonos datos de carcter personal tales como claves de acceso, nmero de cuenta, etc.

    En este tipo de pginas hay que observar que la direccin web comience por https://, apareciendo un candado en la parte derecha de nuestra barra del navegador, o en la parte inferior derecha (dependiendo del tipo de navegador que se est usando) inteligible para terceros sin autorizacin.

    El certificado de seguridad nos aporta la siguiente informacin: vigencia y validez del mismo, verificacin de la empresa titular del mismo, verificacin de la entidad emisora y el nivel de seguridad que implica.

    En caso de que no aparezca esta informacin recomendamos que no realice ninguna operacin en el sitio Web, se desconecte del mismo y notifique dicha situacin a la entidad en cuestin. Como regla general se recomienda:

    6 Galn Muoz. EL FRAUDE Y LA ESTAFA MEDIANTE SISTEMAS INFORMTICOS. Anlisis del artculo 248.2 CP. Titulo Epgrafe: b.2) Transferencia no consentida y comisin por omisin en la estafa informtica. Publicado en Tirant Online, Doctrina.

    Tipo particular de Prestador de Servicios de Certificacin que se encarga de verificar y legitimar ante los terceros (usuarios) la identidad de un usuario y su clave pblica. La intervencin de una autoridad de certificacin supone la intervencin de un tercero de confianza que garantiza la identidad de un sitio web, un emisor de correo electrnicoetc. Concepto de Autoridad de Certificacin Wikipedia.

    8

    7

  • a. Disponer de un antivirus (gratuito o de pago) completamente actualizado y activado.

    b. No instalar en el equipo software que haya sido descargado de sitios Web que consideremos no seguros o descargados de software P2P 8.

    c. Mantener tanto el sistema operativo, como el software utilizado, completamente actualizado, especialmente en el caso de los navegadores de Internet y gestores de correo electrnico, los cules suelen ser frecuentemente vas de ataque de los equipos9 .

    Qu es el Hacking y el Cracking? El HACKER es aquel sujeto que se vale de la informtica para acceder a un sistema o una red, navegar por el mismo, comprobar sus vulnerabilidades e informar de las mismas a los responsables para que las corrijan o en su caso apuntarse un nuevo logro, pero en ningn caso destruir o modificar la informacin alojada en el sistema.

    El estimulo de un hacker no es otro que saciar su curiosidad o superar el reto personal

    Reforma del Cdigo Penal publicado el da 15 de Enero de 2007, los hackers pasarn a ser previstos expresamente en el Cdigo Penal.

    Por otro lado el CRACKER, cuya conducta se caracteriza por acceder a sistemas informticos de forma no autorizada, del mismo modo que los hackers (accin tpica en la que coinciden), pero con una finalidad bien distinta: menoscabar la integridad, disponibilidad y acceso a la informacin disponible en dicho sitio Web o en el sistema informtico.

    En ambos casos, y siempre que se lleve a cabo sin previa autorizacin por parte del titular del sistema, se est cometiendo un acto delictivo, ya que ambas actividades violan la intimidad de la vctima y la confidencialidad de la informacin propiedad del titular.

    de lograr evitar la seguridad del sistema. A pesar de ello, segn el Anteproyecto de

    8 P2P: Peer to Peer. Mediante este sistema, formado por nodos y servidores no fijos que se comportan simultneamente como clientes/proveedores de informacin, se logra una capacidad de transferencia de informacin muy elevada, ya que todas las partes actan como servidores proveedores desde el mismo momento que disponen del archivo en cuestin. 9 En las ltimas versiones de Internet Explorer (v.7.0) y Firefox (v.2.0.2), se incorporan de serie herramientas de deteccin de sitios Web fraudulentos, que avisan al usuario antes de permitir el acceso a los mismos, respecto a la seguridad del sitio Web y respecto a los intentos de acceso fraudulento o descarga no autorizada de software maligno al equipo.

    9

  • Adems, en el caso del cracking, se destruyen, causan daos o cambios en la informacin, as como la inhabilitacin de los soportes fsicos tales como servidores, discos duros, etc 10 .

    Cmo podemos evitar el Hacking y el Cracking? Para que nuestro sistema no sea vulnerable a los ataques de hackers y crackers, resulta necesario:

    a. Disponer de un antivirus y firewall (de pago o gratuito) completamente actualizado. Recomendamos visitar la seccin Web del Centro de Alerta Temprana Antivirus de INTECO 11 .

    b. Contar con el firewall del sistema operativo activado.

    c. No facilitar a ninguna persona en foros, programas de mensajera instantnea, etc. claves de acceso al router, o a nuestro equipo.

    d. Utilizar software de escaneo del ordenador especfico para deteccin de virus y software maligno, en especial spyware o puertas traseras y troyanos.

    e. Controlar los accesos fsicos a nuestro equipo, ya que una gran parte de las vulnerabilidades informticas provienen de una falta de seguridad a nivel fsico.

    f. Disponer de proteccin desde el punto de vista lgico, mediante usuarios y contraseas para nuestro sistema, routers, etc. A la hora de establecer una contrasea debemos tener en cuenta la robustez de la misma, atendiendo a las siguientes recomendaciones12 :

    - Usar maysculas y minsculas.

    - Recurrir al uso de tipologa ASCII.

    - Como mnimo tener una longitud de 8 elementos.

    10 En el prembulo del proyecto de ley, aparece expresamente la denominacin hacker. Se modifica el artculo 197. 3 del Cdigo Penal, que en lo sucesivo quedar redactado as: "El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, accediera sin autorizacin a datos o programas informticos contenidos en un sistema informtico o en parte del mismo, ser castigado con pena de prisin de seis meses a dos aos." Del mismo modo, se incluyen en los artculos 261 y 310 bis lo relativo a la destruccin de archivos informticos y el diseo de aplicaciones con el fin de defraudar a acreedores o a la Hacienda Pblica 11Centro de Alerta Temprana Antivirus de INTECO: http://www.inteco.es/frontinteco/es/rss.do?action=viewCategory&categoryName=CATA+Ciudadanos&id=6 498 12 Informacin recabada de "The Simplest Security: A Guide To Better Password Practices", gua bsica de seguridad informtica.

    10

  • Cules son las implicaciones jurdicas del Hacking y el Cracking? A continuacin procedemos a realizar un breve anlisis jurdico del art. 197, apartado primero del Cdigo Penal:

    El bien jurdico protegido en el art. 197.1 del Cdigo Penal segn el Tribunal Supremo lo conforma no tanto el derecho de propiedad sobre la carta o papel, como el secreto de la correspondencia u otros papeles (se aplica a los documentos electrnicos), secreto que constituye una de las necesidades ms vitales de la libertad individual o una parcela importante de las humanas libertades (STS de 8 de marzo de 1974).

    Respecto a los sujetos que intervienen en esta relacin hay que tener en cuenta que el sujeto activo no requiere de ninguna cualidad especial para ser reo de este delito, mientras que el sujeto pasivo es aquella persona a la que ha sido violada su intimidad.

    Nos planteamos la posibilidad de que en la informacin sobre la que se ha accedido se encuentren datos de carcter personal de terceros.

    En este caso la vctima real del delito no sera este tercero, sino el titular de la informacin, ocupando el tercero un cargo de mero perjudicado civil, para cuya persecucin se requerir la denuncia del afectado.

    La accin tpica de este delito requiere que el autor lleve a cabo un acto fsico dirigido a obtener los datos considerados confidenciales o secretos. Por ello, requerimos de la utilizacin premeditada de artificios tcnicos, con la nica finalidad de lograr conocer informacin confidencial, aprovechndose de la negligencia de un tercero o semejantes.(SAP de Alicante, de 22 de marzo de 1999)

    A continuacin procedemos a realizar un breve anlisis jurdico del art. 197, apartado segundo del Cdigo Penal, para lo que nos basaremos en lo anteriormente dicho respecto al art. 197.1

    El bien jurdico protegido vuelve a ser de nuevo el secreto de la correspondencia u otros papeles (se aplica a los documentos electrnicos).

    Del mismo modo, los sujetos participes vuelven a ser de nuevo el actor, que no requiere de ninguna cualidad especial para poder llevar a cabo la accin tpica y por otro lado, el sujeto

    pasivo, que en este caso se trata del titular de los ficheros en los que se encuentran los datos reservados de carcter personal o familiar .

    Por ltimo, la accin tpica en este caso requiere del apoderamiento, acceso, modificacin o alteracin de datos reservados de carcter personal o familiar.

    11

  • En un primer lugar es necesario delimitar qu se entiende por datos reservados de carcter personal o familiar, ya que indudablemente se trata de un mbito ms restringido que el protegido por la normativa de proteccin de datos de carcter personal, Ley Orgnica 15/1999.

    En palabras del propio Tribunal Supremo, no todos los datos reservados de El dao al patrimonio carcter personal o familiar pueden ser no tiene porqu objeto del delito contra la libertad informtica, sino slo aquellos datos reportar beneficio que el hombre medio de nuestra cultura econmico al considera sensibles por ser inherentes a su intimidad ms estricta, o dicho de otro delincuente o a un modo, los datos pertenecientes al reducto tercero para que el de los que, normalmente, se pretende no trasciendan fuera de la esfera en que se hecho sea constitutivo desenvuelve la privacidad de la persona y de delito. de su ncleo familiar (STS de 18 de febrero de 1999).

    Este tipo de datos ntimos deben encontrarse registrados, anotados o grabados en un fichero de carcter informtico o soporte informtico13 ( CD, DVD, Pen Drive, etc)

    Dentro de este tipo delictivo nos encontramos con otros tipos agravados que el legislador ha considerado como hechos de una gravedad superior. Estos son:

    El hacker y el cracker, una vez dentro del sistema informtico puede llevar a cabo diferentes acciones constitutivas de delito. As, los cracker pueden llevan a cabo acciones tpicas constitutivas del delito de daos, regulado en los art. 263 y ss del CP.

    El bien jurdico protegido en este tipo de delitos es el patrimonio, los bienes o informacin que haya podido verse daada por la accin del delincuente. No es necesario que ese dao reporte un beneficio econmico al delincuente o a un tercero, sino que basta con que se haya daado la cosa.

    El legislador prev una pena superior para aquellos casos en los que el dao se realizaba sobre datos, informacin o sistemas informticos (elementos lgicos y no fsicos) ya que entiende que el bien jurdico protegido es mucho ms amplio que la mera propiedad de dicha informacin, previendo los graves daos econmicos que puede causar la prdida o destruccin de este tipo de acciones.

    Respecto a los sujetos participantes no parece que haya que destacar nada relevante, ya que no muestran ninguna particularidad concreta a la hora de llevar a cabo la accin tpica.

    Por ltimo, la accin tpica puede ser llevada a cabo destruyendo, alterando, inutilizando o en su caso daando de cualquier otro modo, de forma total o parcial los equipos informticos (art. 263) y los datos, informacin y sistemas informticos. (art. 264.2)

    Art. 3. b) de la Ley Orgnica de Proteccin de Datos, 15/1999, todo conjunto organizado de datos de carcter personal, cualquiera que fuere la forma o modalidad de su creacin, almacenamiento, organizacin y acceso.

    12

    13

  • En caso de que la destruccin o inutilizacin conlleve la desaparicin fsica y a la vez lgica de la informacin, no se aplicar un concurso real de delitos, sino que en virtud del principio de especialidad, se aplicar el delito establecido en el art. 264.2 del CP.

    La aplicacin de este tipo penal es frecuente cuando en el equipo de un usuario se instala un virus, troyano, bomba lgica o semejante que provoque cualquiera de las acciones tpicas indicadas en el tipo penal (destruya, altere, inutilice o en su caso dae de cualquier modo los datos o la informacin).

    Ahora bien, este tipo penal no es de aplicacin en los casos en los que se instale un virus o semejante que no destruya, altere o inutilice los datos, programas o documentos electrnicos al que hace referencia el tipo penal, y que exclusivamente cause al usuario incomodidad o retraso a la hora de utilizar el equipo.

    Ejemplos de este tipo seran, como bien sealan los profesores Orts Berenguer y Roig Torres en su artculo Delitos informticos y delitos comunes cometidos a travs de la informtica publicado en TirantOnline.com, los ataques DOS (Ataques de Denegacin de Servicio), que conllevan el bloqueo y la cada del servidor informtico, provocando as la inoperatividad del mismo, pero sin llegar a destruir o alterar el servidor en cuestin, objeto sobre el que recae el ataque.

    Especial relevancia otorga el Cdigo Penal en el art. 265 a aquellos casos en los que los daos, destruccin, inutilizacin (an temporal) sean provocados, de forma grave sobre establecimientos o instalaciones militares, buques de guerra, aeronaves

    militares, medios de transporte o transmisin militar, material de guerra,

    aprovisionamiento u otros medios o recursos afectados al servicio de las Fuerzas

    Armadas o de las Fuerzas y Cuerpos de Seguridad, ser castigado con la pena de

    prisin de dos a cuatro aos si el dao causado excediere de 300 . Por otro lado, ambas acciones tpicas pueden llegar a suponer un delito relativo al mercado y los consumidores. ltimamente el tipo penal previsto en el art. 255 del Cdigo Penal est siendo aplicado con frecuencia, ya que la utilizacin de dispositivos hardware o software para lograr defraudar o aprovecharse de las lneas de telecomunicaciones, gas, agua o electricidad propiedad de terceros cada vez se encuentra ms extendida.

    En el caso que nos ocupa, los delincuentes frecuentemente llevan a cabo el acceso a redes inalmbricas y phishing de direcciones IP (uso de direcciones IP de otros usuarios) para cometer delitos contra terceros sin utilizar su propia IP y evitar, de esta forma, el poder ser detectados14.

    Como puede observarse, existe un gran abanico de delitos que podran ser considerados delitos informticos por la intervencin de las nuevas tecnologas para su comisin. No obstante, este listado de delitos va amplindose constantemente, debido al constante cambio del sector de las TIC.

    Art. 255 CP. Ser castigado con la pena de multa de tres a 12 meses el que cometiere defraudacin por valor superior a 400 euros, utilizando energa elctrica, gas, agua, telecomunicaciones u otro elemento, energa o fluido ajenos: a. Valindose de mecanismos instalados para realizar la defraudacin. b. Empleando cualesquiera otros medios clandestinos.

    13

    14

  • Qu podemos considerar Malware?

    Malware puede ser definido como resultado de la agrupacin de las palabras malicious software o software malicioso.

    Los ms comunes son los virus, gusanos, troyanos y programas de spyware / adware. Este tipo de programas pueden ser creados para llevar a cabo gran cantidad de finalidades, tales como recopilar informacin confidencial sobre el usuario, lograr controlar un equipo en modo remoto o daar e incluso inutilizar por completo un equipo.

    Cmo puedo protegerme del Malware? La naturaleza del malware es variada, pero podemos indicar una serie de medidas bsicas y eficaces para protegerse de estos programas malintencionados. Son los siguientes:

    a. Mantenerse informado respecto a la seguridad en Internet y los ltimos casos existentes de fraude y virus15 .

    b. No aceptar ningn archivo adjunto que provenga de una direccin que no sea conocida o no nos brinde confianza, ya sea mediante correo electrnico o sistemas de mensajera instantnea.

    c. Tener instalado software antivirus actualizado. Es muy importante, ya que en caso contrario este pierde su finalidad, la deteccin del malware.

    d. Mantener actualizado el sistema operativo. Los sistemas operativos mayoritarios contienen sistemas de auto-actualizacin, que cierran las posibles vulnerabilidades y reducen las posibilidades de que el malware entre en nuestro equipo.

    e. Disponer del firewall del sistema operativo activado, salvo en caso de que se disponga de una herramienta especfica para ello.

    f. En caso de que el equipo se bloque constantemente o se reinicie por s slo recomendamos analizar el sistema en busca de virus o malware, as como inspeccionar la lista de procesos activos en el sistema, para detectar posibles procesos no ejecutados por nosotros. (Revisar la lista de software recomendado)

    Para mantenerse actualizado respecto a virus y amenazas de seguridad, recomendamos visitar con frecuencia http://www.inteco.es

    14

    15

  • Qu podemos considerar Virus y qu Gusano"? Este tipo de programas tienen en comn la capacidad para auto-replicarse. Pueden contaminar con copias de s mismos el equipo en el que fueron depositados, as como reenviarse a otros equipos va correo electrnico o mediante software de mensajera instantnea.

    La diferencia entre el gusano y el virus informtico radica en que el gusano opera En la actualidad, los de forma independiente a otros archivos, virus son el tipo ms mientras que el virus depende de un portador para llegar al equipo y lograr as extendido de su objetivo, la mayor difusin posible. malware, debido en Los virus son pequeos programas gran parte a la informticos adjuntos a un portador (un programa o archivo infectado) que permite masificacin del uso que el virus pueda propagarse de un equipo de la Red de Internet, a otro, logrando causar daos en software, hardware y documentos albergados en el y del correo equipo.

    La capacidad para aadirse a un programa o archivo aparentemente inofensivo, unido al uso extensivo y masivo del correo electrnico e Internet, han hecho de este tipo de malware el ms extendido en la actualidad.

    Los gusanos guardan cierto parecido a los virus, sin embargo stos no dependen de archivos portadores, sino que se multiplican por s mismos. As, los gusanos se propagan sin la intervencin del usuario, distribuyendo copias completas de s mismo por la Red.

    Este tipo de software, una vez logra acceder a nuestro sistema, toma el control de las herramientas para transferir archivos o informacin (gestores de correo electrnico, mensajera instantnea, etc.) con el fin de lograr la mxima propagacin posible a travs de la Red.

    Qu son los Troyanos? Un caballo de troya es una pieza de software malicioso disfrazado bajo la imagen de software legtimo.

    Los caballos de troya no tienen capacidad para replicarse por s mismos. Ahora bien, el principal peligro es que son capaces de alojarse en equipos y permitir el acceso a usuarios externos sin autorizacin, mediante el uso de puertas traseras que dan acceso en muchos casos al equipo completo, permitiendo recabar informacin o controlar remotamente la mquina anfitriona, pero sin afectar al funcionamiento de sta y sin que el usuario se de cuenta de ello.

    15

  • Mediante este tipo de herramientas un tercero no autorizado podra acceder a nuestro equipo y utilizarlo plenamente como si estuviera frente al teclado, esto incluye hacer capturas de pantalla, descargarse archivos del ordenador de la vctima, ver, manipular, copiar, aadir o borrar archivos del ordenador de la vctima, activar su webcam o manejar el ratn, entre otras muchas finalidades .

    Cules son las implicaciones jurdicas del malware? Todas las versiones de malware anteriormente indicadas conllevan una serie de repercusiones jurdicas.

    El uso de malware para acceder a un equipo informtico o a la informacin lgica puede suponer la comisin de un delito de descubrimiento y revelacin de secretos, penado por el Art.197 del CP y ya comentado en las anteriores pginas.

    Siempre que se produzca el acceso, o se conozca la informacin de carcter privado que se encuentra almacenada en su sistema y que no puede haber sido difundida por otra persona, estaremos ante la comisin del delito de descubrimiento y revelacin de secretos.

    Hay que resaltar como el legislador espaol, con fecha de 15 de enero de 2007, ha publicado el Anteproyecto de Ley Orgnica por la que se modifica la Ley Orgnica 10/1995 (Cdigo Penal. Lo destacable desde el punto de vista aqu analizado, es que el legislador ha entrado a regular expresamente las acciones de los hackers, cumpliendo as con lo dispuesto en la Decisin Marco 2005/222/JAI del Consejo de la Unin Europea de 24 de febrero de 2005, relativa a los ataques contra los sistemas de informacin.

    Esta modificacin hace que se aada al artculo 197 un nuevo apartado que castiga a el que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, accediera sin autorizacin a datos o programas informticos contenidos en un sistema informtico o en parte del mismo, ser castigado con la pena de prisin de seis meses a dos aos (art. 197.3 del Proyecto de reforma).

    Por otro lado, la reforma prev un aumento de pena para el caso de que dicha actividad delictiva fuera cometida en el seno de una organizacin criminal.

    Por otro lado, cabe destacar la facilidad de que este tipo de software llegue a provocar daos sobre el hardware o sobre aplicaciones, incurriendo en tal caso su autor en un delito de daos tipificado en el Art. 263 y ss del CP que ya ha sido comentado en la pgina 13 del presente documento.

    16

  • Debemos destacar la gran versatilidad a la hora de programar este tipo de programas. Esto provoca que dependiendo de la finalidad con la que se hayan programado, los delitos cometidos puedan ser unos u otros, debiendo atender a las circunstancias concretas de cada caso.

    A quin puedo dirigirme en caso ser vctima de este tipo de delitos? En caso de ser vctima de cualquiera de estas actividades delictivas y especialmente en aquellos casos en los que haya existido un dao econmico para nuestro patrimonio o se haya vulnerado nuestra intimidad, se debe interponer denuncia ante las Fuerzas y Cuerpos de Seguridad, as como comunicarlo en su caso al departamento de delitos telemticos.

    Actualmente en Espaa existen varias instituciones con grupos especficos:

    GRUPO DE DELITOS TELEMTICOS DE LA GUARDIA CIVIL El GDT dispone de personal especializado en la persecucin de los autores de delitos informticos

    Los datos de contacto de este grupo especializado son:

    C/Guzmn El Bueno, 110 28003 Madrid (Espaa) e-mail: [email protected]

    Telf: 91 514 64 00

    POLICIA NACIONAL La Polica Nacional dispone de la Unidad de Investigacin de la Delincuencia en Tecnologas de la Informacin, que se encuentra operativa las 24 horas del da.

    En esta unidad se persiguen e investiga, por personal altamente cualificado, los delitos cometidos mediante el uso de las nuevas Tecnologas de la Informacin

    Los datos de contacto de esta unidad especializada son:

    CENTRO POLICIAL DE CANILLAS C/Julin Gonzlez Segador, s/n, 28043 Madrid / e-mail: [email protected] Telf: 91 582 27 51 / Telf: 91 582 23 07

    ERTZAINTZA Al igual que las Fuerzas y Cuerpos de Seguridad del Estado, la Comunidad Autnoma del Pas Vasco, ha creado un grupo especializado en "delincuencia informtica", denominado Seccin Central de Delitos en Tecnologas de la Informacin, (SCDTI).

    17

  • Se puede contactar con ellos a travs de:

    Web: www.ertzaintza.net

    e-Mail: [email protected]

    MOSSOS D ESQUADRA Al igual que las Fuerzas y Cuerpos de Seguridad del Estado, la Comunidad Autnoma de Catalua, ha creado un grupo especializado en delitos telemticos dedicados a la persecucin de este tipo de delitos a travs de la Red.

    Conclusiones Generales El uso de Internet o del comercio electrnico no resulta ms peligroso que cualquiera de las actividades que llevamos a cabo en nuestra vida real.

    Nos conviene:

    a. Ser conscientes de que existen peligros y delincuentes que pretenden lucrarse con sus actividades.

    b. No proporcionar datos de carcter personal, datos de acceso a cuentas bancarias o de acceso a cuentas de correo.

    c. Desconfiar de sitios Web en los que se solicitan datos bancarios sin disponer de certificados de seguridad del sitio Web.

    d. Estar informados de los peligros existentes y de cules son los ms activos en cada momento ya que, al igual que en la vida real, los delincuentes y sus medios se renuevan continuamente.

    e. Mantener activados y actualizados los principales medios para evitar todos estos problemas. Los principales son:

    - Uso de antivirus activado y actualizado. En el mercado existen una enorme cantidad de antivirus que se ajustan a las necesidades tanto del usuario particular como a nivel empresa.

    - Uso de Firewall mediante el que podremos controlar el trfico de entrada y salida de nuestro ordenador.

    - Actualizacin constante de nuestro Sistema Operativo y software cotidiano.

    18

    Aspectos GeneralesQu es el Phishing?Cmo evitar ser vctima del phishing ?Cmo saber que un e-mail es un caso de Phishing?Qu hacer en caso de recibir un correo electrnico con apariencia de Phishing?Qu es el Pharming1 ?Cmo podemos evitar el Pharming3?Cules son las implicaciones jurdicas del phishing y del pharming?Cmo podemos detectar que un sitio Web no cumple con los requisitos de seguridad bsicos?Qu es el Hacking y el Cracking?Cmo podemos evitar el Hacking y el Cracking?Cules son las implicaciones jurdicas del Hacking y el Cracking?Qu podemos considerar Malware?Cmo puedo protegerme del Malware?Qu podemos considerar Virus y qu Gusano"?Qu son los Troyanos?Cules son las implicaciones jurdicas del malware?A quin puedo dirigirme en caso ser vctima de este tipo de delitos?Conclusiones Generales


Conceptos informaticos

Conceptos informaticos

Internet
Virus informaticos

Virus informaticos

Education
clases de virus informaticos y de antivirus informaticos

clases de virus informaticos y de antivirus informaticos

Internet
Conceptos informaticos

Conceptos informaticos

Education
DELITOS INFORMATICOS Intimidad Habeas Data Informatica Juridica Jose Cuervo

DELITOS INFORMATICOS Intimidad Habeas Data Informatica Juridica Jose Cuervo

Documents
Virus y ataques informaticos

Virus y ataques informaticos

Education
CONCEPTOS INFORMATICOS UDES INF. JURIDICA

CONCEPTOS INFORMATICOS UDES INF. JURIDICA

Technology
Terminos informaticos

Terminos informaticos

Documents
Informatica juridica delitos informaticos

Informatica juridica delitos informaticos

Documents
Tecnicas de Ataques Informaticos

Tecnicas de Ataques Informaticos

Documents
CONTROL DE ATAQUES INFORMATICOS 10 ATAQUES INFORMATICOS COMO LO CONTROLAMOS

CONTROL DE ATAQUES INFORMATICOS 10 ATAQUES INFORMATICOS COMO LO CONTROLAMOS

Documents
UT2-1 ATAQUES Y CONTRAMEDIDAS PERSONALES · Seguridad y Alta Disponibilidad 3. ATAQUES 3.1. Ataques contra sistemas de contraseñas 15. 3. ATAQUES 3.1. Ataques contra sistemas de

UT2-1 ATAQUES Y CONTRAMEDIDAS PERSONALES · Seguridad y Alta Disponibilidad 3. ATAQUES 3.1. Ataques contra sistemas de contraseñas 15. 3. ATAQUES 3.1. Ataques contra sistemas de

Documents
MODELOS INFORMATICOS

MODELOS INFORMATICOS

Documents
software informaticos

software informaticos

Documents
Ataques informaticos

Ataques informaticos

Education
Tipos de Ataques Informaticos

Tipos de Ataques Informaticos

Documents
Riesgos informaticos

Riesgos informaticos

Education
Delitos informaticos informatica juridica

Delitos informaticos informatica juridica

Documents
Ejercicios T-2 Amenazas a La Seguridad y Tipos de Ataques Informaticos Miguel

Ejercicios T-2 Amenazas a La Seguridad y Tipos de Ataques Informaticos Miguel

Documents
Redes informaticos

Redes informaticos

Automotive
Delitos informaticos

Delitos informaticos

Investor Relations