Delitos informáticos

cybercrimeLa semana pasada asistí a una jornada sobre Delitos Informáticos organizada por Lex Nova y el ICAV. Como no podía ser de otra manera atendiendo a la naturaleza de los organizadores, la jornada consistió en un estudio práctico, desde su vertiente legal, de los delitos que han surgido “amparados” por el auge de las nuevas tecnologías en nuestra sociedad: intrusismo y sabotaje informático, y estafas utilizando las nuevas tecnologías. También se trató el controvertido tema del control laboral sobre el uso de los recursos corporativos (léase correo electrónico e Internet, entre otros).

Intrusismo

El artículo 197 del CP actual castiga la vulneración de la intimidad y la privacidad de la persona, mientras que el artículo 278 persigue la revelación de secretos de empresa. Cualquier menoscabo de la competitividad de una empresa motivada por una fuga o extracción de información se considera revelación de secreto de empresa. Y dicho menoscabo puede ser provocado por la revelación de un listado de clientes, de un acuerdo comercial o de un nuevo proyecto de I+D+i. Y yo apunto: cualquier menoscabo de su competitividad… ¿y por qué no también de su reputación o de su imagen de empresa?

Es importante resaltar el hecho de que el 278.1 castiga el mero acceso, mientras que el 278.2 castiga la revelación.

Sin embargo, en opinión de D. Manuel ?lvarez Feijoo, del bufete Uría Menéndez, con el Código Penal vigente es extremadamente difícil probar los delitos y castigar al culpable. Por este motivo, entre otros, está en fase bastante avanzada la reforma del mismo. Como muestra, un botón.

Por otro lado, el Convenio del Consejo de Europa sobre Cibercriminalidad insta a los países europeos a perseguir y castigar la intrusión pura en sus respectivas legislaciones. De hecho —aviso para navegantes— el Anteproyecto de Ley de Reforma del Código Penal pretende establecer punición sobre delitos como el hacking blanco, delitos que hasta ahora eran de difícil encaje en el Código Penal actual, y en relación con los que ha habido bastantes sentencias absolutorias.

Sabotaje informático

Se define el sabotaje informático como la intención de destrucción o inutilización de sistemas informáticos (borrado y destrucción de ficheros, virus, gusanos, bombas lógicas, DoS, etc.), conductas que pueden tener un elevadísimo coste económico para las empresas. Sin embargo, y aunque el artículo 264.2 del CP intenta amparar estas situaciones, actualmente prevalece la tesis de la sustancia sobre la tesis del valor, y me explico: se exige como prerrequisito (ver artículo 263 del CP) que exista un daño real, y que ese daño sea superior a 400 euros, mientras que se deja en una especie de segundo plano el perjuicio que provoca, la consecuencia del daño.

Ejemplo práctico: una ataque de DoS que tumba un sistema no ha borrado datos, ni ha tocado la aplicación… no ha provocado daños “reales” que se puedan valorar por encima de los 400 euros. Sin embargo, como cualquiera puede imaginar, las consecuencias del ataque pueden ser costosísimas, tanto en pérdida reputacional como económicas indirectas.

De nuevo a instancias del Convenio del Consejo de Europa sobre Cibercriminalidad y de la Decisión Marco 2005/222/JAI del Consejo de la Unión Europea relativa a los ataques contra sistemas de información, el Anteproyecto de Ley de Reforma del Código Penal va a modificar el artículo 264 actual para que contemple tanto el sabotaje de los datos como el sabotaje de los propios sistemas.

Control laboral de medios tecnológicos

Es evidente que existe un conflicto claro entre el artículo 20.3 del Estatuto de los Trabajadores y el artículo 18 de la Constitución Española (ver STC 98/2000). Es decir: entre el derecho del empleador a controlar y verificar el cumplimiento de las obligaciones laborales del empleado y el uso que da a los recursos corporativos y el derecho al honor y a la intimidad de éste.

Y en opinión de ?lvarez Feijoo, hoy por hoy no existe una solución jurisprudencial aplicable a todos los casos, conviviendo sentencias de lo laboral en un sentido y en otro. De hecho, ?lvarez Feijoo comentó que sólo existe una legislación clara al respecto en EEUU y en Reino Unido, pero que si dichas leyes fueran trasladadas a España directamente se declararían anticonstitucionales. En resumen, que seguimos igual que estábamos.

Ante indicios de lo que se denomina “trasgresión de la buena fe contractual” por parte del empleado (en cristiano viene a querer decir que el empleado está dando un uso inadecuado a los recursos puestos a su disposición) sólo se podrá tener acceso puntual al contenido de su ordenador de trabajo si se dan los siguientes prerrequisitos:

  • Que existan indicios previos y sólidos de la citada trasgresión
  • Que la actuación sea proporcional en términos constitucionales (ver STC 186/2000)
  • Y —para que luego digan que las normativas no son importantes— que se hayan implantado políticas empresariales de uso de medios tecnológicos (ver STS 996/2007)

Eso para el acceso al ordenador. Para poder acceder a los mensajes de correo electrónico es prerrequisito imprescindible disponer de una autorización judicial, pues si no se estaría vulnerando el secreto de las comunicaciones, amparado por el artículo 18.3 de nuestra Constitución.

Estafas

D. Emilio M. Fernández García, Fiscal Jefe de Albacete y miembro del Servicio de Criminalidad Informática de la Fiscalía General del Estado impartió una amena charla sobre estafas relacionadas con las nuevas tecnologías. De hecho, el debate posterior a su charla se prolongó más allá de las 9 de la noche, lo que resulta bastante significativo. En relación con las estafas informáticas, realizó un repaso a los diferentes tipos existentes (phishing, vishing -phishing de voz-, smishing, carding, distribuciones piramidales, cartas nigerianas, etc.), sus características, técnicas utilizadas, etc.

Estos delitos están contemplados en el artículo 248 del CP, al que en 2003 se le añadió el apartado 3, que contempla el uso de “programas de ordenador específicamente destinados a la comisión de las estafas previstas en este artículo”. Esta referencia tan ambigüa, “copiada” de la legislación alemana, ha provocado –en opinión de D. Emilio M. Fernández- que sea poco utilizable judicialmente.

En relación con el phishing, el ponente comentó los problemas con que se encuentra la fiscalía a la hora de intentar perseguir este tipo de delitos:

  • La falta de medios puestos a disposición de los grupos de investigación del ciberdelito de la Guardia Civil y la Policía Nacional.
  • El rastro del dinero se pierde en el “Este”…
  • Qué hacer con las “cibermulas”, los muleros de las estafas tecnológicas. ¿Son víctimas? ¿Son cómplices? Por cierto, no se pierdan esta noticia sobre el reclutamiento de muleros.
  • La falta de determinación de las evidencias y pruebas electrónicas.
  • Conflictos con la AEPD, que considera la IP un dato de carácter personal, hecho que exige un mandamiento judicial para poder intervenir equipos de supuestos delincuentes.

Simplemente quería compartir con ustedes algunos de los temas que se trataron, que creo que son muy interesantes, y que desde luego ponen de manifiesto la dimensión holística de la seguridad.

(Foto cortesía de tmullins en Wikispaces)

Comments

  1. Muy buena recopilación. Yo en temas de formación uso el powerpoint que la Guardia Civil comenta cuando se habla de la Brigada de Delitos Telemáticos y los tipos de delitos según sus categorías.
    Está accesible en la url http://www.socinfo.info/seminarios/pasarelas/guardiacivil.pdf

    Ellos hacen cuatro grandes cajones según el Código Penal que serían:

    — “PROPIEDAD INTELECTUAL” o DELITOS RELACIONADOS CON INFRACIONES DE LA PROPIEDAD INTELECTUAL Y DE LOS DERECHOS AFINES (Art. Abuso de los dispositivos(270)270 y ss.)

    — “HACKING” o DELITOS CONTRA LA CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD DE DATOS Y SISTEMAS INFORM?TICOS (Arts. Descubrimiento y revelación de secreto y acceso ilegal (197), • Apoderamiento de secreto de empresa (278), • Daños en datos y sistema informático (264))

    — “FALSIFICACIÓN O FRAUDES” o DELITOS INFORM?TICOS (Arts. • Falsedad documental (390 y ss.), • Estafa informática(248), • Defraudación en fluido telecomunicaciones (255 y 256))

    — “PEDOFILIA” o DELITOS RELACIONADOS CON EL CONTENIDO (Arts •Tenencia y difusión de pornografía infantil (189), • Provocación sexual y prostitución (186 y 187), • Amenazas (169), injurias (208) y calumnias (205), • Apología racismo y xenofobia (607))

  2. Gracias por tu aportación Javier. Hablando del GDT, me llamó la atención que el Fiscal Jefe de Albacete comentó que los grupos de investigación de la Guardia Civil y la Policía Nacional estaban desbordados de trabajo (por falta de personal y de medios materiales). Literalmente habló de “habitaciones llenas de discos y equipos para peritar…”.

    Por cierto si alguien quiere ganarse unos eurillos como cibermula, acabo de recibir una oferta en el correo. Os paso la info ;-)

    Necesito su colaboraciуn

    Yo soy el Sr. Patrick KW Chan, director ejecutivo y director financiero de Hang Seng Bank Ltd, Hong Kong. Tengo un negocio lucrativo propuesta de interйs mutuo para compartir con ustedes, sino que implica la transferencia de una gran suma de dinero. Si usted estб interesado en trabajar conmigo en contacto conmigo a travйs de mi correo electrуnico privado (patchanprivacy03@yahoo.com.hk) para mбs detalles

    Sr. Patrick Chan
    E-mail: patchanprivacy03@yahoo.com.hk

  3. http://Amistad says

    Sr. Fernando,
    Muy interesante su comentario respecto a este tema tan actual como candente.
    Estoy muy interesada en conseguir el contenido de la sentencia del TS 996/2007 de la sala de lo social, porque la he buscado y me sale una sentencia sobre los recargos de equivalencia de la SS, que no tiene nada que ver con este tema, por lo que deduzco que debe ser una errada, y quisiera que Ud me confirmara qué número de sentencia es la correcta.
    Espero su respuesta, por favor, pues me urge bastante.
    Muchisimas gracias

  4. http://Amistad says

    Muchísimas gracias por su ayuda.
    Esta sentencia me es de gran interés y utilidad, y le agradezco además su rapidez en contestarme.
    Muy agradecida.

  5. Estimados Señores

    He resibido esta informacion de un tipo de Hong Kong creo por lo que dicen no e muy confiable.
    ———————————————————————————-
    Estimado amigo y socio ,

    Muchas gracias por su respuesta , he de estar en el sector financiero durante muchos años aunque trato en lo posible de diversificar mi interés por explorar nuevos frontiers.You no debe tener nada de qué preocuparse, voy a hacer todo lo legalmente necesario para asegurar que el proyecto va bien, que pasará por todas las leyes de la Banca Internacional. Un abogado en nombre del Abogado. Chun Lee, ciudadano coreano preparar las declaraciones juradas necesarias , que deberá ponerlo en su lugar como familiares , sino que obtendrá los permisos necesarios de las autoridades de Hong Kong que cubrirá todos los aspectos implicados en esta transacción.

    Este abogado se encargará de todos los asuntos de sucesión en su nombre , tendrá todos los documentos perfeccionadas , y con los documentos que deberá presentar a mi banco para solicitar la liberación inmediata y la transferencia de los fondos a la cuenta que le abrirás en su nombre , por lo tanto, su presencia puede no ser necesaria aquí en Hong Kong a menos que así lo desea. He sido un banquero durante muchos años y sé perfectamente cómo funciona el sistema . Habiendo resuelto encomendar esta transacción en tus manos , quiero recordarles que , necesita vuestro compromiso y diligente seguimiento. Si usted trabaja en serio, toda la transacción debe ser en un par de días.

    Lea lo siguiente y volver a mí:

    En primer lugar , ¿qué edad tienes , debe tener en cuenta que este proyecto es altamente intensiva en capital , es por eso que tengo que tener mucho cuidado , necesito su total devoción y la confianza de ver en esto. Sé que no hemos visto antes , aunque me va a venir a su país después de que el éxito de la transferencia de estos fondos de mi banco para la puesta en común final, pero aún así me siento muy confiado de que vamos a ser capaces de establecer la confianza necesaria que necesitamos para ejecutar este proyecto.

    Ahora estoy en contacto con un banco en línea offshore extranjera en el Reino Unido , voy a la intención de que abra una cuenta a su nombre en este banco extranjero por lo tanto, no vamos a estar haciendo uso de su cuenta bancaria personal. El dinero será transferido a su cuenta que se abrirá en el banco extranjero para los dos en su nombre , se trata de la mejor manera , he encontrado , sino que nos protegerá de mi banco . Quiero que disfrutemos de este dinero en paz cuando se concluye . Así que usted debe escuchar mis instrucciones y seguirlas religiosamente. También hay que saber que no puedo transferir este dinero en mi nombre , ya que mi banco se dará cuenta de que es de mí , aquí es donde te necesito .

    Como resultado de esto, usted tendrá que abrir una cuenta en el banco correspondiente. Mi abogado va a obtener un certificado de depósito en mi banco , que será emitido en su nombre, y esto hará que el verdadero dueño de los fondos. Después de esto, el dinero se ladeó en línea para los dos . A continuación, puede instruir al banco para transferir nuestras diversas acciones en nuestras respectivas cuentas bancarias de origen , aunque en este momento me hubiera venido a su país para reunirse con usted. También voy a perfeccionar la documentación con la ayuda de mi abogado para darle la transacción del bien jurídico.

    Antes de que comience, por necesitaré que me envíe una copia de cualquier forma de su identificación (licencia de conducir , ID de trabajo o pasaporte internacional ) . Quiero estar seguro de que estoy transacciones con la persona correcta. Tan pronto como llegue a ellos de usted , voy a iniciar los trámites con la ayuda de mi abogado . Espero que se entiende por qué necesito todo esto, el dinero en cuestión es grande y quiero asegurarme de que te conozco bien antes de proceder a dar todos los detalles para iniciar el proyecto, también yo os envío mis Identidades y familiares álbum de la recepción de su identificación. Voy a enviar el nombre y datos de contacto del banco del Reino Unido con usted tan pronto como tengo confirmar que podíamos hacer uso de ella porque tengo que estar seguro de que es una filial de mi banco que puede proteger los fondos antes de que pueda comenzar la comunicación con ellos .

    Una vez más, asegúrese de que usted mantenga este proyecto CONFIDENCIAL , no hablar de ello con nadie, debido a la naturaleza confidencial de esta transacción y mi trabajo. Por favor, responda lo más pronto posible con la identificación requerida. Puede que le sea enviada a mí como adjunto de correo electrónico de confirmación.

    Saludos cordiales,
    Sr. Patrick K. W Chan
    ———————————————————————————-
    He estado investigado al parecer es un buen fraude o el tipo se quiere pasar de listo esta es su direccion de e-mail mpatrickchan7@gmail.com