Ciberseguridad y Ciberdelitos o delitos informáticos

hacker ciberdelitos delitos informáticos ciberseguridad
Share on facebook
Share on twitter
Share on linkedin

Con ocasión del Día de Internet Segura (Safer Internet Day) el Centro Nacional de Formación en Nuevas Tecnologías (ThinkTIC) celebró las V Jornadas de Ciberseguridad y Fraude en Internet y no nos lo podíamos perder.

Resumen de las V Jornadas de Ciberseguridad y Fraude en Internet

En las siete ponencias y dos mesas redondas que se hicieron se hablaron de múltiples aspectos de la ciberseguridad: desde las salidas profesionales que existen en este sector y los problemas que existen para encontrar talento (Sara García Becares y Ana Baliña), hasta demostraciones en directo de lo fácil que es encontrar vulnerabilidades en sistemas industriales (Deepak Daswani), pasando por cuestiones tan variopintas como ciberseguridad e Inteligencia Artificial (Carlos Prieto Lezaun, Elyoenai Egozcue, Ignacio Alonso, David Meléndez) o hacking con drones (David Meléndez).

Algunas de las ideas que más presentes estuvieron a lo largo de todas las jornadas fueron:

  • El número de ataques a infraestructuras críticas es muy, muy elevado.
  • Tú también puedes estar sufriendo un ciberataque ahora mismo (de hecho, seguramente sea así).
  • No somos conscientes de lo fácil que le dejamos a los ciberdelincuentes el acceso a nuestros sistemas (HACE FALTA PROTEGERSE).
  • Los malos siempre van delante, descubren formas de saltarse las medidas de seguridad implementadas y hay que hacer todo lo posible por prevenirlos y, en caso de que suframos un ciberataque, remediarlo lo antes posible (HAY QUE ESTAR PREPARADOS).
  • Hay que ser precavido en el entorno digital y no caer en prácticas tan comunes como: poner contraseñas poco seguras, dejar la configuración de seguridad por defecto de nuestros dispositivos (contraseñas admin-admin…), el phishing… Para esto es importante la concienciación y formación (en esta línea es referencia INCIBE y nosotros hicimos un juego en Twitter sobre buenas prácticas que os recomendamos).
  • Hay salidas profesionales en el sector de la ciberseguridad (también para los juristas).

¿Cuál es la clave de la ciberseguridad?

Estos puntos nos llevan a la idea clave de la ciberseguridad: la prevención. Necesitamos cambiar de mentalidad porque, aunque no lo veamos, somos objetivo de ciberataques como pudimos ver en directo con la ponencia de Ignacio Alonso:

Sin embargo, la ciberseguridad no queda únicamente en aspectos técnicos, sino que el Derecho tiene mucho que decir en este ámbito (bueno, en éste y en todos, el Derecho está en todas partes).

via GIPHY

RGPD y ciberseguridad

Cómo no, el tema estrella del Derecho durante este último año, la protección de datos, también aborda la ciberseguridad.

De hecho, la seguridad se configura como uno de los principios de la protección de datos:

Artículo 5. Principios relativos al tratamiento.

1. Los datos personales serán:

f) tratados de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas («integridad y confidencialidad»)

De este modo, se establece la obligación de utilizar las medidas técnicas necesarias para proteger los datos personales, haciendo especial hincapié en las técnicas de anonimización y seudonimización de los datos (para evitar o dificultar la identificación de las personas en caso de que alguien acceda a sus datos sin permiso).

Asimismo, se establece la obligación de informar a la Agencia de Protección de Datos en un plazo máximo de 72 horas en caso de violación de seguridad de los datos personales (art. 33 RGPD).

Se establece la obligación de hacer un análisis de riesgos, en su caso una evaluación de impacto… Todo con el fin de asegurar que los derechos de los interesados no sean vulnerados, establecer todas las medidas necesarias para asegurar los datos y, en caso de que exista cualquier vulneración, que el impacto sea bajo.

Además, las famosas multas del RGPD también abarcan al incumplimiento de este principio de tratamiento de datos.

Por último, el Código penal tipifica como delito el acceso, utilización o modificación de datos de carácter personal en el art. 197.2 CP:

Las mismas penas se impondrán al que, sin estar autorizado, se apodere, utilice o modifique, en perjuicio de tercero, datos reservados de carácter personal o familiar de otro que se hallen registrados en ficheros o soportes informáticos, electrónicos o telemáticos, o en cualquier otro tipo de archivo o registro público o privado. Iguales penas se impondrán a quien, sin estar autorizado, acceda por cualquier medio a los mismos y a quien los altere o utilice en perjuicio del titular de los datos o de un tercero.

Ciberseguridad y Derecho penal: los ciberdelitos o delitos informáticos

via GIPHY

Sin embargo, el Derecho penal es, sin duda, el ámbito jurídico que más impacto tiene en el mundo de la ciberseguridad.

Phishing, adware, ataques dirigidos (APT), ataques de denegación de servicios (DDoS), malware, troyanos, etc. Todos estos conceptos se refieren a técnicas o herramientas utilizadas para realizar ciberataques y que han sido trasladados a nuestro código penal:

El delito de phishing o de fraude informático

Recibes un correo en el que “tu banco” te dice que tu contraseña ha caducado y tienes que cambiarla metiendo los datos de tu tarjeta para identificarte dejándote en “la siguiente URL” … ¿Te suena esta situación?

Esta es la práctica más común de phishing y puede constituir el llamado delito de fraude informático (art. 248.2 CP):

Cometen estafa los que, con ánimo de lucro, utilizaren engaño bastante para producir error en otro, induciéndolo a realizar un acto de disposición en perjuicio propio o ajeno.

2. También se consideran reos de estafa:

a) Los que, con ánimo de lucro y valiéndose de alguna manipulación informática o artificio semejante, consigan una transferencia no consentida de cualquier activo patrimonial en perjuicio de otro.

b) Los que fabricaren, introdujeren, poseyeren o facilitaren programas informáticos específicamente destinados a la comisión de las estafas previstas en este artículo.

c) Los que utilizando tarjetas de crédito o débito, o cheques de viaje, o los datos obrantes en cualquiera de ellos, realicen operaciones de cualquier clase en perjuicio de su titular o de un tercero.

Delito de intrusismo informático (o delito de “hacking”).

El artículo 197 bis CP establece el denominado delito de intrusismo informático, consistente en el acceso a un sistema informático sin permiso:

El que por cualquier medio o procedimiento, vulnerando las medidas de seguridad establecidas para impedirlo, y sin estar debidamente autorizado, acceda o facilite a otro el acceso al conjunto o una parte de un sistema de información o se mantenga en él en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, será castigado con pena de prisión de seis meses a dos años.

Este tipo penal entra en conflicto directo con la figura del hacker, quien, por mera curiosidad, accede a los sistemas de información buscando vulnerabilidades y, en caso de encontrarlas, las comunica con el fin de que las corrijan.

Sin embargo, quienes pretenden ayudar al encontrar una vulnerabilidad informática muchas veces no pueden informar de ella sin ser acusados de cometer un delito de intrusismo informático.

Por esta razón, varios profesionales especializados en Derecho Tecnológico se han pronunciado a favor de la creación de un “Estatuto de colaboración informática” . Así, por ejemplo, lo hizo el abogado David Maeztu en su comparecencia ante la Comisión Mixta de Seguridad Nacional.

Delito de descubrimiento y revelación de secretos

El que acceda a las comunicaciones electrónicas ajenas sin consentimiento estará cometiendo un delito de descubrimiento de secretos. Es decir, que únicamente con acceder a dichos datos ya estaría cometiendo el ilícito.

Art. 197.1 CP:

El que, para descubrir los secretos o vulnerar la intimidad de otro, sin su consentimiento, se apodere de sus papeles, cartas, mensajes de correo electrónico o cualesquiera otros documentos o efectos personales, intercepte sus telecomunicaciones o utilice artificios técnicos de escucha, transmisión, grabación o reproducción del sonido o de la imagen, o de cualquier otra señal de comunicación, será castigado con las penas de prisión de uno a cuatro años y multa de doce a veinticuatro meses.

Delito de daños informáticos

via GIPHY

El art. 264 CP establece el denominado delito de daños informáticos:

El que por cualquier medio, sin autorización y de manera grave borrase, dañase, deteriorase, alterase, suprimiese o hiciese inaccesibles datos informáticos, programas informáticos o documentos electrónicos ajenos, cuando el resultado producido fuera grave, será castigado con la pena de prisión de seis meses a tres años.

Y el art. 264 bis establece que:

Será castigado con la pena de prisión de seis meses a tres años el que, sin estar autorizado y de manera grave, obstaculizara o interrumpiera el funcionamiento de un sistema informático ajeno:

a) realizando alguna de las conductas a que se refiere el artículo anterior;

b) introduciendo o transmitiendo datos; o

c) destruyendo, dañando, inutilizando, eliminando o sustituyendo un sistema informático, telemático o de almacenamiento de información electrónica.

Si los hechos hubieran perjudicado de forma relevante la actividad normal de una empresa, negocio o de una Administración pública, se impondrá la pena en su mitad superior, pudiéndose alcanzar la pena superior en grado.

Son muchas y muy diversas las conductas que pueden encajar en los tipos contemplados en estos artículos. Algunos ejemplos son:

  • Los ataques de denegación de servicio (DDoS): se colapsa un sistema para que se caiga y no pueda prestar servicios a los usuarios.
  • La introducción de malware que elimine o corrompa tus archivos.
  • El famoso ransomware que restringe el acceso a tu dispositivo y exigía un pago para poder volver a utilizarlo

Otros delitos en el ámbito de internet

Además de estos delitos informáticos que afectan directamente al ámbito de la ciberseguridad encontramos otros como:

  • Delitos contra la propiedad intelectual en el ámbito de internet
  • El Grooming
  • Delitos de bulling
  • El ciberacoso o “stalking”

via GIPHY

Suscribete a nuestra newsletter

Si quieres estar al día de las novedades del Derecho Tecnológico y quieres estar más cerca de nosotros… No te lo pienses más y
¡SUSCRÍBETE!

Deja una respuesta

Tu dirección de correo electrónico no será publicada.