Delitos informáticos

Por Fernando Seco, 11 de Junio de 2009 |

cybercrime La semana pasada asistí a una jornada sobre Delitos Informáticos organizada por Lex Nova y el ICAV. Como no podía ser de otra manera atendiendo a la naturaleza de los organizadores, la jornada consistió en un estudio práctico, desde su vertiente legal, de los delitos que han surgido “amparados” por el auge de las nuevas tecnologías en nuestra sociedad: intrusismo y sabotaje informático, y estafas utilizando las nuevas tecnologías. También se trató el controvertido tema del control laboral sobre el uso de los recursos corporativos (léase correo electrónico e Internet, entre otros).

Intrusismo

El artículo 197 del CP actual castiga la vulneración de la intimidad y la privacidad de la persona, mientras que el artículo 278 persigue la revelación de secretos de empresa. Cualquier menoscabo de la competitividad de una empresa motivada por una fuga o extracción de información se considera revelación de secreto de empresa. Y dicho menoscabo puede ser provocado por la revelación de un listado de clientes, de un acuerdo comercial o de un nuevo proyecto de I+D+i. Y yo apunto: cualquier menoscabo de su competitividad… ¿y por qué no también de su reputación o de su imagen de empresa?

Es importante resaltar el hecho de que el 278.1 castiga el mero acceso, mientras que el 278.2 castiga la revelación.

Sin embargo, en opinión de D. Manuel �?lvarez Feijoo, del bufete Uría Menéndez, con el Código Penal vigente es extremadamente difícil probar los delitos y castigar al culpable. Por este motivo, entre otros, está en fase bastante avanzada la reforma del mismo. Como muestra, un botón.

Por otro lado, el Convenio del Consejo de Europa sobre Cibercriminalidad insta a los países europeos a perseguir y castigar la intrusión pura en sus respectivas legislaciones. De hecho —aviso para navegantes— el Anteproyecto de Ley de Reforma del Código Penal pretende establecer punición sobre delitos como el hacking blanco, delitos que hasta ahora eran de difícil encaje en el Código Penal actual, y en relación con los que ha habido bastantes sentencias absolutorias.

Sabotaje informático

Se define el sabotaje informático como la intención de destrucción o inutilización de sistemas informáticos (borrado y destrucción de ficheros, virus, gusanos, bombas lógicas, DoS, etc.), conductas que pueden tener un elevadísimo coste económico para las empresas. Sin embargo, y aunque el artículo 264.2 del CP intenta amparar estas situaciones, actualmente prevalece la tesis de la sustancia sobre la tesis del valor, y me explico: se exige como prerrequisito (ver artículo 263 del CP) que exista un daño real, y que ese daño sea superior a 400 euros, mientras que se deja en una especie de segundo plano el perjuicio que provoca, la consecuencia del daño.

Ejemplo práctico: una ataque de DoS que tumba un sistema no ha borrado datos, ni ha tocado la aplicación… no ha provocado daños “reales” que se puedan valorar por encima de los 400 euros. Sin embargo, como cualquiera puede imaginar, las consecuencias del ataque pueden ser costosísimas, tanto en pérdida reputacional como económicas indirectas.

De nuevo a instancias del Convenio del Consejo de Europa sobre Cibercriminalidad y de la Decisión Marco 2005/222/JAI del Consejo de la Unión Europea relativa a los ataques contra sistemas de información, el Anteproyecto de Ley de Reforma del Código Penal va a modificar el artículo 264 actual para que contemple tanto el sabotaje de los datos como el sabotaje de los propios sistemas.

Control laboral de medios tecnológicos

Es evidente que existe un conflicto claro entre el artículo 20.3 del Estatuto de los Trabajadores y el artículo 18 de la Constitución Española (ver STC 98/2000). Es decir: entre el derecho del empleador a controlar y verificar el cumplimiento de las obligaciones laborales del empleado y el uso que da a los recursos corporativos y el derecho al honor y a la intimidad de éste.

Y en opinión de �?lvarez Feijoo, hoy por hoy no existe una solución jurisprudencial aplicable a todos los casos, conviviendo sentencias de lo laboral en un sentido y en otro. De hecho, �?lvarez Feijoo comentó que sólo existe una legislación clara al respecto en EEUU y en Reino Unido, pero que si dichas leyes fueran trasladadas a España directamente se declararían anticonstitucionales. En resumen, que seguimos igual que estábamos.

Ante indicios de lo que se denomina “trasgresión de la buena fe contractual” por parte del empleado (en cristiano viene a querer decir que el empleado está dando un uso inadecuado a los recursos puestos a su disposición) sólo se podrá tener acceso puntual al contenido de su ordenador de trabajo si se dan los siguientes prerrequisitos:

Que existan indicios previos y sólidos de la citada trasgresión
Que la actuación sea proporcional en términos constitucionales (ver STC 186/2000)
Y —para que luego digan que las normativas no son importantes— que se hayan implantado políticas empresariales de uso de medios tecnológicos (ver STS 996/2007)

Eso para el acceso al ordenador. Para poder acceder a los mensajes de correo electrónico es prerrequisito imprescindible disponer de una autorización judicial, pues si no se estaría vulnerando el secreto de las comunicaciones, amparado por el artículo 18.3 de nuestra Constitución.

Estafas

D. Emilio M. Fernández García, Fiscal Jefe de Albacete y miembro del Servicio de Criminalidad Informática de la Fiscalía General del Estado impartió una amena charla sobre estafas relacionadas con las nuevas tecnologías. De hecho, el debate posterior a su charla se prolongó más allá de las 9 de la noche, lo que resulta bastante significativo. En relación con las estafas informáticas, realizó un repaso a los diferentes tipos existentes (phishing, vishing -phishing de voz-, smishing, carding, distribuciones piramidales, cartas nigerianas, etc.), sus características, técnicas utilizadas, etc.

Estos delitos están contemplados en el artículo 248 del CP, al que en 2003 se le añadió el apartado 3, que contempla el uso de “programas de ordenador específicamente destinados a la comisión de las estafas previstas en este artículo”. Esta referencia tan ambigüa, “copiada” de la legislación alemana, ha provocado –en opinión de D. Emilio M. Fernández- que sea poco utilizable judicialmente.

En relación con el phishing, el ponente comentó los problemas con que se encuentra la fiscalía a la hora de intentar perseguir este tipo de delitos:

La falta de medios puestos a disposición de los grupos de investigación del ciberdelito de la Guardia Civil y la Policía Nacional.
El rastro del dinero se pierde en el “Este”…
Qué hacer con las “cibermulas”, los muleros de las estafas tecnológicas. ¿Son víctimas? ¿Son cómplices? Por cierto, no se pierdan esta noticia sobre el reclutamiento de muleros.
La falta de determinación de las evidencias y pruebas electrónicas.
Conflictos con la AEPD, que considera la IP un dato de carácter personal, hecho que exige un mandamiento judicial para poder intervenir equipos de supuestos delincuentes.

Simplemente quería compartir con ustedes algunos de los temas que se trataron, que creo que son muy interesantes, y que desde luego ponen de manifiesto la dimensión holística de la seguridad.

(Foto cortesía de tmullins en Wikispaces)

(+39 rating, 8 votes)

Loading ...

6 comentarios a “Delitos informáticos”

Muy buena recopilación. Yo en temas de formación uso el powerpoint que la Guardia Civil comenta cuando se habla de la Brigada de Delitos Telemáticos y los tipos de delitos según sus categorías.
Está accesible en la url http://www.socinfo.info/seminarios/pasarelas/guardiacivil.pdf

Ellos hacen cuatro grandes cajones según el Código Penal que serían:

— “PROPIEDAD INTELECTUAL” o DELITOS RELACIONADOS CON INFRACIONES DE LA PROPIEDAD INTELECTUAL Y DE LOS DERECHOS AFINES (Art. Abuso de los dispositivos(270)270 y ss.)

— “HACKING” o DELITOS CONTRA LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE DATOS Y SISTEMAS INFORM�?TICOS (Arts. Descubrimiento y revelación de secreto y acceso ilegal (197), • Apoderamiento de secreto de empresa (278), • Daños en datos y sistema informático (264))

— “FALSIFICACIÓN O FRAUDES” o DELITOS INFORM�?TICOS (Arts. • Falsedad documental (390 y ss.), • Estafa informática(248), • Defraudación en fluido telecomunicaciones (255 y 256))

— “PEDOFILIA” o DELITOS RELACIONADOS CON EL CONTENIDO (Arts •Tenencia y difusión de pornografía infantil (189), • Provocación sexual y prostitución (186 y 187), • Amenazas (169), injurias (208) y calumnias (205), • Apología racismo y xenofobia (607))

Javier Cao [web], 11 de Junio de 2009, 3:38 pm

Gracias por tu aportación Javier. Hablando del GDT, me llamó la atención que el Fiscal Jefe de Albacete comentó que los grupos de investigación de la Guardia Civil y la Policía Nacional estaban desbordados de trabajo (por falta de personal y de medios materiales). Literalmente habló de “habitaciones llenas de discos y equipos para peritar…”.

Por cierto si alguien quiere ganarse unos eurillos como cibermula, acabo de recibir una oferta en el correo. Os paso la info ;-)

Necesito su colaboraciуn

Yo soy el Sr. Patrick KW Chan, director ejecutivo y director financiero de Hang Seng Bank Ltd, Hong Kong. Tengo un negocio lucrativo propuesta de interйs mutuo para compartir con ustedes, sino que implica la transferencia de una gran suma de dinero. Si usted estб interesado en trabajar conmigo en contacto conmigo a travйs de mi correo electrуnico privado (patchanprivacy03@yahoo.com.hk) para mбs detalles

Sr. Patrick Chan
E-mail: patchanprivacy03@yahoo.com.hk

Fernando Seco [web], 11 de Junio de 2009, 8:48 pm

Sr. Fernando,
Muy interesante su comentario respecto a este tema tan actual como candente.
Estoy muy interesada en conseguir el contenido de la sentencia del TS 996/2007 de la sala de lo social, porque la he buscado y me sale una sentencia sobre los recargos de equivalencia de la SS, que no tiene nada que ver con este tema, por lo que deduzco que debe ser una errada, y quisiera que Ud me confirmara qué número de sentencia es la correcta.
Espero su respuesta, por favor, pues me urge bastante.
Muchisimas gracias

Amistad [web], 30 de Junio de 2009, 4:11 pm

La tienes disponible en el siguiente enlace:
http://www.poderjudicial.es/eversuite/GetDoc?DBName=dPortal&UniqueKeyValue=50377&Download=false&ShowPath=false

Saludos.

Fernando Seco [web], 30 de Junio de 2009, 5:23 pm

Muchísimas gracias por su ayuda.
Esta sentencia me es de gran interés y utilidad, y le agradezco además su rapidez en contestarme.
Muy agradecida.

Amistad [web], 30 de Junio de 2009, 6:35 pm

[...] http://www.securityartwork.es/2009/06/11/delitos-informaticos/ [...]

DELITOS INFORMATICOS « ceci periales blog [web], 21 de Septiembre de 2010, 1:51 am

6 comentarios a “Delitos informáticos”

Deja un comentario

Páginas

Twitter! »

Encuesta

Suscripciones por e-mail!

Búsqueda

Categorías

Archivos

Autores

Enlaces

Meta