Libro Derechoinformatico Tema11

Curso de Derecho Informtico y Peritaciones Judiciales

414 www.antpji.com

www.antpji.com 415


Captulo 11: Delitos Informticos11.1 Introduccin

11.2 Conceptos afines a ciberdelincuentes y ciberterroristas. Diferenciacin de conp-

cetos

11.3 Los sujetos activos y pasivos en el CIberespacio: Ciberagresores y cibervctimas

11.4 Clasificacin de los Delitos Informticos segn el Cdigo Penal Espaol y los

distintos grupos de la policia

11.5 Pharming: Mtodo de funcionamiento y ANTI - PHARMING

11.6 Phising: Daos causados

11.7 SPAM

11.8 Malware: daos causados. Relacin con SPAM y Phising: Ransomware

11.9 Contra la propiedad intelectual

11.10 Ataques, daos y accesos no autorizados a sistemas informticos

11.11 Falsificaciones: De documentos y clonacin de tarjetas de crditos: Carding y

Skimming

11.12 Ciberacoso o Cyberbullying. Tipos y caractersticas

11.13 Servicio web de Chatroulette: webcam, chat y mensajes

11.14 La Scam de los Scammers: proliferacin en tiempo de crisis econmica

11.15 Ciberguerra: un nuevo concepto de guerra con nuevos enfrentamiento y daos


416 www.antpji.com

11.1.-Introduccin:

Lo primero que llama la atencin en nuestro CP1 , es la ausencia de una definicin en rela-

cin con el Delito Informtico2 . A este hecho, hay que aadir la incomprensible estructura de dicho

cdigo, al no llevar a cabo una clasificacin por captulos y de acuerdo a los artculos correspon-

dientes, de las distintas figuras delictivas que definan y expresen la realidad tecnolgica actual,

quedando contempladas, por tanto bajo otros supuestos.

Es cierto que en el momento de su creacin del CP, a lo largo de la exposicin de motivos,

la reforma total del que era en ese momento el sistema de penas, no responda a la compleja situa-

cin delictiva que a modo de avances tecnolgicos innovadores, acechan de manera alarmante a

nuestra sociedad y a los Derechos fundamentales de nuestros ciudadanos.

En el presente captulo, presentamos un tratamiento avanzado, de lo que son las distintas

figuras cibernticas, que han sido objeto de anlisis en una investigacin superior3 . Lo que se

pretende, es una exposicin basada en concretar y definir las caractersticas de las figuras tecnol-

gicas que no contempla nuestro CP expresamente, necesarias para poder identificar el acto ilcito

que tratamos de prevenir inicialmente o de castigar en su caso.

Para ello, es necesario identificar correctamente el modus operandi de cada una, de manera

que para que podamos con el actual sistema punitivo hacerles frente, es necesario clasificarlas

o asemejarlas en un articulado concreto (el que se dispone con el CP actual), abordando poste-

riormente un tratamiento estrictamente jurdico, convirtindose ese proceder, en una verdadera

hazaa, basada en demostrar que podemos introducir herramientas estrictamente eficaces, pero

jurdicas para combatir, primero, con el modelo del CP actual y en posteriormente (lo que veremos

en captulos siguientes), con un CP que tiene que sufrir necesariamente cambios, si no queremos

seguir encabezando los records de Ciberdelincuencia.

Aquellos casos en los que el hecho previsiblemente infractor, no fuere perseguible va pe-

nal, habra que acudir a la legislacin propia que regula la sociedad de la informacin donde s se

encuentran, como la Ley Orgnica de Proteccin de Datos Personales en materia de proteccin de

1 Ley Orgnica 10/1995, de 23 de noviembre, del Cdigo Penal.2 Nuestro cdigo habla de Son delitos o faltas las acciones y omisiones dolosas o imprudentes penadas por la Ley.3 MESEGUER GONZLEZ, Juan de Dios. Tesis Doctoral sobre los derechos fundamentales afectados por los nuevos modis operandi de Ciberdelincuentes y Ciberterroristas

www.antpji.com 417


datos personales y, la Ley de Servicios de la Sociedad de la Informacin y Comercio Electrnico,

en cuestiones de la sociedad de la informacin y envo de correos electrnicos. Ahora bien, tanta

vinculacin y derivacin hacia otras normas, lo definimos como intentar salvar una laguna legal en

estado crtico, que en cualquier caso no estar penado con el grado en tiempo que le corresponde-

ra. En nuestro caso particular, hay que acudir adems a lo que los expertos (GC y BIT), consideran

se asemeja por analoga a otras figuras.

Con carcter previo, vamos desarrollar una diferenciacin de conceptos y sujetos, para lue-

go desarrollar las distintas figuras cibernticas, situndolas en nuestro actual Cdigo Penal.

11.2.-Conceptos afines a Ciberdelincuentes y Ciberterroristas. Diferencia-cin de conceptos:

Con carcter previo, creemos que es preciso distinguir brevemente, dos conceptos que he-

mos observado se suelen emplear indistintamente y errneamente en muchos estudios, por algu-

nos autores que aparecen en internet o en otras publicaciones, confundiendo los objetivos y finali-

dades de ambos. Nos referimos concretamente a los conceptos de Ciberdelitos y Cibercrmenes respectivamente, como aquellas figuras que muestran su similitud o equivalencia entre delitos y

crmenes, pero que se desarrollan en el Ciberespacio, red informtica, espacio virtual, etc y, que

pueden afectar a los servicios de internet.

La confusin viene, porque se utilizan por igual los Ciberdelitos como los Cibercrmenes. Si

bien, no es incorrecto hacerlo en trminos generales, dicha terminologa se muestra como impreci-

sa a la hora de clasificar y distinguir las distintas figuras de: Ciberdelincuentes y Ciberterroristas. Lo

cierto es que delito equivale a un trmino genrico, frente al crimen que la propia Real Academia de

la lengua, lo define como un acto ms grave y que tiene que ver con la accin voluntaria de matar

o herir gravemente a alguien, lo que de manera similar se predica tambin del delito por la misma

Academia, al definirlo como lo que causa lesin corporal grave o muerte. En este sentido, los Ci-

berdelitos4 se incluiran de manera ms exacta dentro de las actividades de los Ciberdelincuentes,

definidos como actividades genricas y menos graves: el fraude informtico, el robo, la falsificacin, 4 MIR PUIG, Santiago. La funcin de la pena y teora del delito en el Estado social y democrtico de De-recho. 2 Ed Revisada en 2011. B O S C H, Casa Editorial, S. A. Urgel, 51 bis BARCELONA, 1982. Importa destacar que el mbito de la norma secundaria (que impone la pena) es menos amplio que el de la norma pri-maria: sta prohbe ms conductas de las que obliga a castigar la norma secundaria, porque de todos los hechos prohibidos por la norma jurdico-penal (es decir, los hechos antijurdicos), slo son punibles los realizados por un sujeto culpable De esta forma, deducimos de acuerdo a este autor, que existen conductas criminales por vas informticas que no pueden considerarse como delito, segn la Teora del delito, por lo cual se definen como abusos informticos.


418 www.antpji.com

el scammer, el computer hacking, el espionaje informtico, el sabotaje y extorsin informticos, la

piratera comercial y otros tipos ilcitos contra la propiedad intelectual, la invasin de la intimidad, la

distribucin de contenidos ilegales y daosos, la incitacin a la prostitucin y otros delitos contra la

moralidad.

Frente a estos nos encontramos con el Cibercrimen5 , como los delitos ms graves, es de-cir, por citar un ejemplo, las actividades provenientes de los Ciberterroristas, y por la convergencia

del Ciberespacio y el terrorismo; forma en la que el terrorismo, utiliza las tecnologas de la informa-

cin para intimidar, coaccionar o para causar daos a grupos sociales con fines polticos-religiosos.

Dentro tambin del Cibertorrorista6 , incluimos el concepto del Cibercriminal y cuyos objetivos prin-

cipales son ocasionar miedo, destruccin y dao, de manera amplia a las personas, ms all del

fraude o el chantaje en s mismo considerado, porque afectara a la vida y seguridad de las mismas

tanto a nivel nacional como internacional: los ilcitos cometidos atentando a centrales nucleares,

medios de transporte areos, gaseoductos, centrales elctricas, etc.

En definitiva, el Ciberterrorismo va ms all de la Ciberdelincuencia, a pesar de que exis-tan muchas voces coincidentes que consideren que son una misma cosa. Indudablemente tienen

cierta vinculacin, porque en muchas ocasiones, los Ciberterroristas desempean actividades de-

lictivas en la red, pero la causa que las motivan, los beneficios y el objetivo de utilizar las tecnolo-

gas, es muy distinto como veremos en esta investigacin.

Pero la Cibercriminalidad, tambin se predica del crimen organizado, el referente a las ame-

nazas a la seguridad de Internet, como los virus o los ataques de piratas informticos a empresas,

y la difusin de pornografa infantil.

5 MIR LLINARES, Fernando. El cibercrimen. Fenomenologa y criminologa de la delincuencia en el ciberespacio. Marcial Pons. 2012. el trmino cibercrimen describira conductas como la consistente en acceder ilcitamente a un sistema informtico ajeno, o la del adulto que propone a travs de Internet un con-tacto con un menor con la intencin de consumar posteriormente un abuso sexual. En el segundo, el trmino Cibercrimen describira tipos penales como el del nuevo art. 197.3 que sanciona el acceso informtico ilcito, o el del art. 183 bis que castiga el denominado online child grooming6 II JORNADA EJECUTIVAS DE CIBERCRIMEN Y CIBERTERRORISMO. Buenos Aires, 15 de no-viembre de 2012. Las lucha contra el fenmeno del Cibercrimen y el Ciberterrorismo plantea importantes problemas dogmticos que pueden afectar a los principios estrucuturales de la Seguridad Pblica. Est en juego la atencin entre los principios de libertad y seguridad, lo que es una constante a lo largo de la historia de la humanidad. Asimismo, la dependencia creciente de los pases en el uso de las tecnologas de informacin para manejar y operar infraestructuras crticas, genera un escenario ideal para el ataque cibercriminal y ciber-terrorista. En qu sentido somos vulnerables?, y su respuesta no slo se encuentra en el estudio del hombre. Por qu el hombre es el lobo del hombre?, sino tambin por la globalizacin de las infraestructuras, el acceso annimo va Internet

www.antpji.com 419


Por tanto, como hemos comentado en la introduccin, ambos conceptos, se presentan como dos

fenmenos con caractersticas similares en cuanto a ciertas tcnicas para vulnerar los sistemas

informticos, pero distintas y complejas en cuanto al fin ltimo perseguido.

A continuacin, vamos a proporcionar unas breves definiciones7 relacionadas con el Cibe-

respacio y los Delitos Informticos, que nos servirn para aclarar los conceptos que emplearemos

en nuestra exposicin. En este sentido:

Ciberespacio:

Espacio virtual donde se hallan los recursos de informacin numrica, a los que

puede accederse a travs de redes informticas de comunicacin. El Ciberes-

pacio no es Internet, pero no es posible explicar Internet sin l, de manera que

podemos hablar de la informacin del Ciberespacio en Internet. En el Cibe-

respacio es dnde se introducen textos y se escucha msica. Por el contrario,

Internet sera el medio, el conducto, el canal, en el que se conectan todos esos

Ciberespacios individuales que difcilmente son controlables.

Ciberdelito:

Cualquier actividad delictiva en la que se utiliza como herramienta las compu-

tadores o redes, o estos son las vctimas de la misma, o bien el medio desde

donde se efecta dicha actividad delictiva. Como nota curiosa, si traducimos del

ingls Cybercrime, los traductores nos presentan el trmino Ciberdelito, o lo que

es lo mismo, si traducimos al ingls delito nos sale crime y de ah que se utili-

cen delitos y crmenes indistintamente. Pero esta traduccin, que jurdicamente

no sera estrictamente correcta por lo que hemos explicado, a la hora de distin-

guir entre delito y crimen, es fruto de lo que defendemos, sobre la confusin y

uso comn de Ciberdelito como Cibercrimen, que por otra parte, tiene tambin

lgica y es porque en ambos casos, son actividades llevadas a cabo o que

emplean las redes y sistemas informticos como medio, objetivo o lugar para

cometer el delito, pero que nosotros aadimos, o el crimen, segn los casos.

7 RAIN, Ottis and LORENTS, Peeter. Cyberspace: Definitions and Implications. Cooperative Cyber Defence Centre of Excellence, Tallinn, Estonia. 2010.


420 www.antpji.com

Ciberdelincuencia:

Actividades delictivas realizadas con ayuda de redes de comunicaciones y sis-

temas de informacin electrnicos o contra tales redes y sistemas.

Cibernauta:

Persona que mediante un ordenador y a travs de la red informtica de Internet,

accede a bases de datos y se comunica con usuarios conectados a la misma

red en cualquier parte del mundo.

Cibersistema:

Este trmino abarca a cualquier ordenador o red de ordenadores utilizada para

retransmitir, transmitir, coordinar o controlar las comunicaciones de datos o pro-

gramas. Esta definicin contiene numerosas similitudes con la definicin del

trmino sistema informtico que figura en el Artculo 1 a) del Convenio sobre

la Ciberdelincuencia8 . Aunque el Proyecto de Convenio se refiere a actos rela-

cionados con el intercambio de datos y por consiguiente apunta principalmente

a los sistemas informticos basados en redes, ambas definiciones abarcan a

ordenadores interconectados as como a mquinas autnomas.

Ciberactivismo:

Se presenta no como una tcnica, sino como una estrategia llevando a cabo,

ataques a servicios webs, robo y publicacin de datos e informacin sensible

o de carcter personal, por medio de un Ciberactivista, que es un persona que

aprovecha herramientas de comunicacin basadas en las TIC. El grupo ANON-

YMOUS, es una de las principales figuras en este sentido.

8 En el Proyecto de Convenio Stanford de 1999, de carcter oficioso, se reconoce que el acceso ilcito es uno de los delitos que deben penalizar los Estados signatarios. In this context computer system means any device or a group of interconnected or related devices, one or more of which, pursuant to a program, perfor-ms automatic processing of data.

www.antpji.com 421


Ciberespionaje:

Ciberataques realizados para obtener secretos de estado, propiedad industrial,

propiedad intelectual, informacin comercial sensible o datos de carcter perso-

nal. Se coloca como la mayor amenaza a la seguridad encubierta. Pero el Cibe-

respionaje tambin como forma de Ciberdefensa en el mbito de la Ciberguerra.

Delito informtico:

No existe un concepto unnimemente aceptado de lo que sea el delito infor-

mtico, debido a que la delincuencia informtica comprende una serie de com-

portamientos difcilmente reducibles o agrupables en una sola definicin. De

todos modos, cualquier comportamiento antijurdico, no tico o no autorizado,

relacionado con el procesado automtico de datos y/o transmisiones de datos,

a travs de medios informticos y que est ligado a los bienes jurdicos relacio-

nados con las tecnologas de la informacin o que tiene como fin estos bienes,

se considera Delito informtico. Por otro lado, cabe hacer referencia al Conve-

nio de Ciberdelincuencia del Consejo de Europa9, que los define a los Delitos

informticos como actos dirigidos contra la confidencialidad, la integridad y la

disponibilidad de los sistemas informticos, as como el abuso de dichos siste-

mas, medios y datos.

Los delitos informticos, se realizan necesariamente con la ayuda de los sistemas inform-ticos, pero el objeto fundamental, es la informacin en s misma. Se puede considerar Ciberdeli-to como Delito informtico? Bajo nuestro punto de vista, no hay Ciberdelitos, sino delitos a travs de la red informtica. El principal problema que se plantea, es la categorizacin de los Ciberdelitos

desde un punto de vista estrictamente tcnico, lo que impide previamente obtener una definicin

correcta de Ciberdelito y quizs por ello, no se halla legislado al respecto an, porque entre todos

los hechos que acontecen como actos ilcitos penales, por intentar delimitar conceptos, media do-

cena podran ser Ciberdelitos, pero otros muchos no.

Por tanto, para los ms exquisitos buscadores de la verdad, tendramos que remitirnos a los

orgenes, a un punto de vista antropolgico10 , que como toda accin del hombre sobre el mundo,

9 http://www.agpd.es/portalwebAGPD/canaldocumentacion/legislacion/consejo_europa/convenios/common/pdfs/Convenio_Ciberdelincuencia.pdf10 AVOGRADRO, Marisa Elizabeth. Mediaciones tecnolgicas: el entramado invisible del ciberespacio. Mediaciones Sociales N 3. Segundo Semestre de 2008, pgs. 393-412.


422 www.antpji.com

se est perfilando con una nueva imagen en el mbito de la Cibercultura y de la sociedad virtual,

encontrando un hito histrico ya que por primera vez en el proceso de la evolucin humana, convi-

ven simultnea y paralelamente dos culturas y sociedades: las reales y las virtuales.

En una palabra, Ciberdelito es una palabra que vende mucho y que vende muy bien, pero desde nuestra experiencia, no tiene mucho sentido al menos en el campo informtico11, ya que

hablamos de delitos tradicionales en los que se utilizan tecnologas de la informacin. Ahora bien,

es preciso delimitar o concretar los trminos empleados, para su necesario tratamiento jurdico, por

lo que entonces, sern correctas las apreciaciones entre Ciberdelitos y Cibercrmenes. Interesa un

enfoque prctico de los Delitos Informticos, porque de ese modo, podremos clasificarlos y perse-

guirlos correctamente.12 Las reas tpicas en las que podemos estudiar los Delitos Informticos, son

las que mostramos en la siguiente clasificacin:

1. Pornografa Infantul

2. Calumnias e Injurias

3. Amenazas

4. Fraudes Informticos

5. Derecho a la Intimidad

6. Propiedad Intelectual

7. Falsedades

8. Sabotajes Informticos

11.3.-Los sujetos activos y pasivos en el CIBERESPACIO: Ciberagresores y Cibervctimas:

En el Cdigo Penal espaol, no se da una definicin general de qu es sujeto activo y pasi-

vo del delito, sino que hay que ir viendo cada delito, para extraer del mismo, a quin corresponde

en cada caso la autora correspondiente. Debemos tener en cuenta, que ahora vamos a darle a

esta cuestin un tratamiento, que nos permita definir quines son los autores de estos ilcitos, para

lo cual, hablaremos de Delitos informticos como Ciberdelitos indistintamente, sin perjuicio de lo

desarrollado hasta ahora (que en ninguno de los casos, tampoco define nuestro cdigo penal, ni 11 Vanse, entre otros, BUENO ARS, F. El delito informtico, p. 5; GONZLEZ RUS, J.J. Aproxima-cin al tratamiento penal de los ilcitos patrimoniales relacionados con medios o procedimientos inform-ticos, pp. 139 y ss.; o ROMEO CASABONA, c.m. Poder informtico y seguridad jurdica, pp. 176 y ss., o, posteriormente, Los delitos de daos en el mbito informtico, p.104.12 CHOCLN MONTALVO, J. A., Infracciones patrimoniales en los procesos de transferencia de datos, en El cibercrimen: nuevos retos jurdico-penales, nuevas respuestas poltico criminales, Granada, 2006, pgs. 69-95.

www.antpji.com 423


da una clasificacin como tal, sino, debiendo acudir a otras figuras delictivas como veremos en el

Captulo II), por suceder estos en el Ciberespacio, aunque existiendo un dato comn al resto de de-

litos, y es que va a existir un sujeto activo y otro pasivo, pero en estos casos concretos, no estamos

hablando de delincuentes comunes (a pesar de que nos referimos tanto a las personas naturales

como a las personas jurdicas).

El hecho de que no sea considerado el sujeto activo delincuente comn, est determinado

por el mecanismo y medio de accin que utilice para llevar producir el dao, quines en la mayora

de los supuestos en que se manifiestan y las funciones que desempean pueden ser catalogados

sujetos especiales. El reconocimiento de varios tipos de conductas antijurdicas que puede mani-

festar el sujeto activo, expresadas en el presente epgrafe, es preciso para conocer las posibles

formas de comisin delictiva y obviamente profundizar en las posibles formas de prevencin y de-

tencin de estas conductas.

Por tanto, los Sujetos activos en nuestro caso concreto, sern aquellas personas que come-

ten los Delitos Informticos, que se diferencian del resto, porque poseen ciertas caractersticas que no presentan el denominador comn de los delincuentes, esto es, los sujetos activos tienen

habilidades para el manejo de los sistemas informticos y generalmente por su situacin laboral se

encuentran en lugares estratgicos donde se maneja informacin de carcter sensible, o bien son

hbiles en el uso de los sistemas informatizados, aun cuando, en muchos de los casos, no desarro-

llen actividades laborales que faciliten la comisin de este tipo de delitos.

Ahora bien, el anonimato que defendemos en cuanto a la autora de este tipo de Delitos

Informticos llevada a cabo por estos sujetos activos, estriba en considerar, (y esto es otra carac-

terstica de estos sujetos activos), que no solo son sujetos, personas, sino software creados por

dichas personas obviamente, (programadores informticos, aficionados o simplemente sujetos con

conocimientos informticos), y que responden a diversos nombres de acuerdo a una terminologa

especfica que veremos a continuacin en la Tipologa de las figuras Cibernticas, lo que dificulta

su rastreo para lograr descubrir el causante de ellos.

Muchos de los Delitos informticos se encuadran dentro del concepto de Delitos de cuello

blanco 13, trmino introducido por primera vez por el criminlogo estadounidense Edwin Suther-

land.

13 ZAMBRANO PASQUEL, Alfonso. Son los delitos cometidos por personas que, en virtud de su sta-tus social, incurren en la comisin de delitos, creyndose amparados por dicho estatus. Adems, son tambin los cometidos especficamente por personas con poder econmico o polticos, mismo que los suele hacer inmunes.


424 www.antpji.com

Ahora bien, despus de los estudios y la experiencia adquirida con el tiempo en este sector,

se ha podido comprobar que los autores de los Delitos informticos son muy diversos14 , de mane-

ra que lo que realmente los diferencia entre s, es la naturaleza de los delitos cometidos. De esta

forma, la persona que accede a un sistema informtico sin intenciones delictivas, es muy diferente

del empleado de una institucin financiera que desva fondos de las cuentas de sus clientes.

Estos sujetos, adquieren diferentes nombres variando segn los pases y las legislaciones.

En Espaa, para el caso concreto de nuestro Cdigo Penal, lamentablemente no disponemos de

una clasificacin concreta, por lo que nos tenemos que remitir a la jerga informtica con las mati-

zaciones que en cada caso iremos introduciendo. Las distintas denominaciones ms usuales en

general son: Hackers15 , Cracker, Phreaker16 , Lammers17 , Gurus18 , Bucaneros19 , Newbie20 , Tras-

14 CRUZADO REYES, Jos Alberto. Delitos Informticos y Ciberterrorismo. Instituto Tecnolgico Su-perior de Libres. Ingeniera en Sistemas Computacionales. Libres, Puebla. 2011; CHIARAVALLOTI, Alicia; LEVENE, Ricardo. Delitos Informticos. VI Congreso Latinoamericano en Colonia, Uruguay, y publicado en La Ley, Nros. 202 del 23 de Octubre de 1998 y 215 del 11 de Noviembre de 1998, Argentina. Actualizada en septiembre de 2011.15 HATHAWAY, Melissa.Power Hackers: The U.S. Smart Grid Is Shaping Up to Be Dangerously Insecu-re, Scientific American, 5 October 2010.16 El phreaker es una persona que con amplios conocimientos de telefona puede llegar a realizar activi-dades no autorizadas con los telfonos, por lo general celulares. Construyen equipos electrnicos artesanales que pueden interceptar y hasta ejecutar llamadas de aparatos telefnicos celulares sin que el titular se percate de ello.17 Aquellos que aprovechan el conocimiento adquirido y publicado por los expertos. Si el sitio web que intentan vulnerar los detiene, su capacidad no les permite continuar ms all. Generalmente, son despreciados por los verdaderos hackers que los miran en menos por su falta de conocimientos y herramientas propias. Mu-chos de los jvenes que hoy en da se entretienen en este asunto forman parte de esta categora.18 Son los maestros y ensean a los futuros Hackers. Normalmente se trata se personas adultas, me refiero a adultas, porque la mayora de Hackers son personas jvenes, que tienen amplia experiencia sobre los sistemas informticos o electrnicos y estn de alguna forma ah, para ensear o sacar de cualquier duda al joven ini-ciativo al tema. Es como una especie de profesor que tiene a sus espaldas unas cuantas medallitas que lo iden-tifican como el mejor de su serie. El guru no est activo, pero absorbe conocimientos ya que sigue practicando, pero para conocimientos propios y, solo ensea las tcnicas ms bsicas.19 En realidad se trata de comerciantes. Los bucaneros venden los productos crackeados como tarjetas de control de acceso de canales de pago. Por ello, los bucaneros no existen en la Red. Solo se dedican a explotar este tipo de tarjetas para canales de pago que los Hardware Crackers, crean. Suelen ser personas sin ningn tipo de conocimientos ni de electrnica ni de informtica, pero si de negocios. El bucanero compra al CopyHacker y revende el producto bajo un nombre comercial. En realidad es un empresario con mucha aficin a ganar di-nero rpido y de forma sucia. 20 Traduccin literal de novato. Es alguien que empieza a partir de una WEB basada en Hacking. Ini-cial-mente es un novato, no hace nada y aprende lentamente. A veces se introduce en un sistema fcil y a veces fracasa en el intento, porque ya no se acuerda de ciertos parmetros y entonces tiene que volver a visitar la pgina WEB para seguir las instrucciones de nuevo. Es el tpico tipo, simple y nada peligroso. Est apartado en un rincn y no es considerado.

www.antpji.com 425


hing21, Ciberocupas22 , CiberGrafitti/Defacements23 , Anoymus24 , Warez25 , CiberPandillerismo26 ,

etc.

Desde nuestra experiencia en el sector de las telecomunicaciones, podemos afirmar, que

otro de los grandes errores que hemos observado en distintos textos, es denominar delincuentes

informticos, a todos estos sujetos activos. En el mbito de las tecnologas los Delincuentes infor-

mticos, los Ciberdelincuentes e incluso los Cibercriminales, segn corresponda en cada caso,

todos tienen unas caractersticas comunes en cuanto a personalidad (alto coeficiente intelectual,

curiosidad y facilidad para las abstracciones intelectuales, aprecian y son estimulados por la nove-

dad, especialmente la intelectual, relativamente individualistas y anticonformistas, etc).

De ah el empeo de la psicologa como ciencia, por trazar teoras que intentan encontrar

mtodos tiles que permitan a los Estados, prevenir los ilcitos penales que se cometen, por medio

del estudio de las conductas y comportamientos de estos sujetos. La psicologa emprica, trabaja

para intentar justificar o verificar sus hiptesis mediante la experiencia. Para ello, tiene que estudiar

todos los casos disponibles, para desarrollar y poner en prctica un mapa de conducta.

Existen muchas hiptesis, anlisis y estudios, coincidentes todos en el alarmante alcance

del Ciberdelito y los sentimientos de impotencia y de falta de justicia que sufren sus vctimas en

todo el mundo. Tambin se ha llegado a identificar en estos estudios, las intensas emociones de las

21 Apunta a la obtencin de informacin secreta o privada que se logra por la revisin no autorizada de la basura (material o inmaterial) descartada por una persona, una empresa u otra entidad, con el fin de utilizarla por medios informticos en actividades delictivas. Estas acciones corresponden a una desviacin del procedi-miento conocido como reingeniera social.22 Un ciberocupa es una persona que se dedica a comprar y reclamar los derechos de determinados do-minios de Internet relevantes o buscados por grandes empresas, celebridades emergentes u otros, con el fin de revenderlos a los interesados a un precio desorbitado. Es uno de los fraudes que se hacen en el proceso de registro de dominios. En ocasiones ocupan estos dominios con pginas web de un contenido poco apropiado, como medida de presin en tal reventa o con otros fines (polticos, ideolgicos o de otra ndole).23 Consiste en penetrar sitios web para modificar su contenido, desplegando imgenes obscenas, amena-zas, mensajes ridiculizantes, burlas, etc.24 Se trata de un grupo o movimiento de hacktivistas, que inicialmente actuaba por diversin, pero des-de el 2008, se manifiesta realizando acciones de protesta a favor de la libertad de expresin, de la independencia de internet y en contra de diversas organizaciones, entre ellas, Scientology, servicios pblicos, consorcios con presencia global y sociedades de derechos de autor.25 Grupo de personas amantes de la piratera de software. Su meta es violar cdigos de seguridad (crac-king) o generar, obtener o compartir nmeros de registro (regging) de programas de cmputo, para luego su-birlos a Internet y compartirlos con el mundo. Usualmente son delitos o ilcitos contra la Propiedad Intelectual o Derechos de Autor.26 Grupos de hackers o extremistas se renen para cometer o planear delitos, o para expresar ideas racis-tas, discriminatorias o xenofbicas.


426 www.antpji.com

personas hacia los delincuentes y las acciones a menudo errneas que realizan las personas para

evitar y resolver los Ciberdelitos. Esto es as, que podemos hablar de una epidemia digital que afecta de manera global a todo el planeta, y para el que no existe un tratamiento eficaz. Podramos

asimilar el Ciberdelito, con un tipo de virus que muta peridicamente y para el que no existe una

vacuna eficaz, dadas las ramificaciones del mismo.

Los Ciberdelincuente y los Cibercriminales, conocen los puntos dbiles de la poblacin y saben cundo atacar, para conseguir sus propsitos. Segn Norton Antivirus, de la empresa Sy-

mantec, slo un 3% de la poblacin mundial, es tan ingenua que cree que nunca va a ser vctima

de un Ciberdelito. La realidad es que tarde o temprano, nuestros equipos sern infectados por un

virus o un cdigo malicioso. Por dar algunas cifras, el 56 % de los Ciberdelincuentes son annimos

y el 21 % pertenecen a grupos organizados. Y el 65 % de la poblacin mundial, ha sido vctima de

un Ciberdelito. Ms del 80% de los internautas espaoles reclaman ms seguridad en Internet a la

Administracin .27

Pero qu siente la gente sobre los Ciberataques de los Ciberdelincuentes?28 GRFICAMENTE :

27 http://ciberciudadania.wordpress.com/2012/06/29/mas-del-80-de-los-internautas-espanoles-recla-man-mas-seguridad-en-internet-a-la-administracion/28 http://us.norton.com/content/en/us/home_homeoffice/media/pdf/cybercrime_report/Norton_Spani-sh-Human%20Impact-A4_Aug11.pdf

www.antpji.com 427


Atendiendo al grfico anterior, podemos determinar que no existe una preocupacin en cuan-

to a inseguridad por parte de los ciudadanos, porque solo un 26 % se siente indefenso. Quizs ese

sea el principal problema, dado que si no ponemos remedio a nivel individual, con independencia

de la eficacia de los Ciberataques, resulta ms difcil combatirlos. Lamentablemente los Ciberdeli-

tos cuestan tiempo y dinero combatirlos y en la situacin actual de crisis econmica, los recursos

econmicos son los que ms escasean.

A continuacin, presentamos unas caractersticas antropomorfo-lgicas, que resumen en

trminos generales, diversos estudios sobre el perfil relacionado con la conducta y la forma de ser

del Delincuente informtico. En el punto 2.6.11., de esta investigacin, analizaremos ms a fondo

aquellos sujetos y sus perfiles psicolgicos como los Piratas informticos que se consideran los

ms activamente peligrosos, en relacin con sus figuras afines. En este sentido:

1.-La piedra angular como principal problema de los psiclogos y expertos, es determinar

si se puede trazar un patrn comn entre el delincuente informtico y el delincuente tradicional.

Segn nuestro criterio, el Delito informtico tiene un alcance mayor y puede incluir delitos tradi-

cionales: fraudes, robos, falsificaciones, etc. Sin embargo, los delitos informticos se han vuelto

ms frecuentes y sofisticados, de manera que para cada determinada accin tpica, antijurdica y

culpable, que cometa un Ciberdelincuente, existir un mtodo que ser o intentar ser innovador y

distinto cada vez. Por tanto, debemos hablar de modelos de diferenciacin claros desde un punto

de vista informtico en relacin a los delitos tradicionales.

Existe una hiptesis29 , que consiste en la identificacin de los temas (theme) dominantes

que se pueden utilizar para clasificar cualquier conjunto de delitos. En otras palabras, la investiga-

cin puede determinar los aspectos de la delincuencia, que nos permitira revelar las diferencias en

los distintos enfoques temticos o delictivos.

En esta lnea, debemos mencionar las Tesis psiquitricas que estudian las Tipologas sobre

la personalidad criminal, teoras que basan gran parte de sus investigaciones en intentar establecer

una relacin entre delincuencia y la forma del cuerpo humano. Los precursores en este campo fue-

ron Ernst KRETSCHMER y William SHELDON, alcanzando su mayor auge con las investigaciones

sobre la personalidad criminal de Hans EYSENCK.

29 CARSON, David and BULL, Ray. A General Model for a Radex as Applied to the actions of Crimi-nals .Handbook of Psychology in legal Contexts. Second. Edition. University of Southampton, UK. 2003. A General Model for a Radex as Applied to the actions of Criminals.


428 www.antpji.com

Pero son estas teoras aplicables a la nueva Ciberdelincuencia? Por ejemplo, es el grado de

planificacin, o las formas de contacto con la vctima, o la intensidad y seriedad legal de las accio-

nes, o existe otro aspecto fundamental de la delincuencia, que produce la mezcla de variaciones

notables entre los crmenes? Grficamente, se representa esta relevancia del comportamiento en

la conducta criminal30 del siguiente modo:

Hay muchos estudios que examinan las diferencias entre los delincuentes y los no delin-

cuentes. Sin embargo, hay menos estudios, comparando las diferencias entre las personas decla-

radas culpables de un delito y los condenados por otro, y muy pocos estudios, teniendo en cuenta

las diferencias entre las personas que llevan a cabo crmenes similares de diferentes maneras.

30 AKED, J.P., CANTER,D., SANFORD.,A.J. and SMITH.,N. Approached to the Scientific Attributionof Authorship in In D.V. Canter and L.J.Alison (eds.) Profiling in Policy and Practice, Networks. Offender Profi-ling And Criminal Differentiation. Series Vol II. Dartmouth: Aldershot. 1999, pgs. 157188.

www.antpji.com 429


2.-Los delincuentes han demostrado a travs de su comportamiento, que presentan patro-

nes similares de accin en diferentes ocasiones, en los delitos tradicionales, por lo que en estos

casos, es posible establecer un mtodo o perfil de actuacin. En los Delitos Informticos, nos en-

contramos del orden de 30.000 amenazas distintas cada da segn Karspersky.

3.-Bajo condiciones limitadas, es posible mostrar las asociaciones entre las caractersticas

de los delincuentes y el enfoque temtico de sus actuaciones. Pero es un reto para una concepcin

clsica del derecho penal, enfrentarse de manera efectiva a este tipo de amenazas que se van per-

feccionando a ritmos sorprendentes.

4.-Son conductas criminales de cuello blanco (white collar crime o delito de cuello blanco),

en tanto que slo un determinado nmero de personas con ciertos conocimientos (en este caso

tcnicos) puede llegar a cometerlos.

5.-Son acciones ocupacionales, en cuanto a que muchas veces se realizan cuando el sujeto

se halla trabajando.


430 www.antpji.com

6.-Son acciones de oportunidad, ya que se aprovecha una ocasin creada o altamente inten-

sificada en el mundo de funciones y organizaciones del sistema tecnolgico y econmico.

7.-Provocan serias prdidas econmicas, ya que casi siempre producen beneficios de ms

de cinco cifras a aquellos que las realizan.

8.-Ofrecen posibilidades de tiempo y espacio, ya que en milsimas de segundo y sin una

necesaria presencia fsica pueden llegar a consumarse.

9.-Son muchos los casos y pocas las denuncias, y todo ello debido a la misma falta de regu-

lacin por parte del Derecho.

10.-Son muy sofisticados y relativamente frecuentes en el mbito militar (espionaje).

11.-Presentan grandes dificultades para su comprobacin, esto por su mismo carcter tcni-

co.

12.-Tienden a proliferar cada vez ms, por lo que requieren una urgente regulacin. Por el

momento siguen siendo ilcitos impunes de manera manifiesta ante la ley.

13.-Aprovechan vulnerabilidades o fallos en las plataformas afectadas y sin necesidad de

presencia fsica.

14.-Aprovechan vulnerabilidades o fallos en los sistemas informticos o plataformas en los que

actan.

El sujeto pasivo seguir siendo la vctima del delito31 , el propietario legtimo del bien jurdico

protegido, sobre quien recae la conducta de accin u omisin que realiza el sujeto activo. En el caso

de estos delitos, los sujetos pueden ser personas naturales o jurdicas que usan sistemas automa-

tizados de informacin, generalmente conectados a otros.

Mediante el sujeto pasivo, podemos conocer los diferentes ilcitos que cometen los delin-

cuentes informticos, aunque estos generalmente no son descubiertos o no son denunciados a las

31 Las vctimas pueden ser individuos, instituciones crediticias, instituciones militares, gobiernos, centra-les (nucleares, trmicas, hidroelctricas, de Biomassa, etc), gaseoductos, aeropuertos, etc., que usan sistemas automatizados de informacin, generalmente conectados a otros.

www.antpji.com 431


autoridades responsables, tal vez la razn de ello es la falta de leyes efectivas que protejan a las

vctimas de estos delitos, la insuficiente preparacin por parte de las autoridades para comprender,

investigar y aplicar el tratamiento jurdico adecuado a esta problemtica o bien la falta de coordina-

cin entre las legislaciones nacionales e internacionales, que conlleva las consecuentes prdidas

econmicas u otros motivos, favoreciendo todo ello a los Ciberdelincuentes.

Llegados a este punto, hablar de Ciberagresores y Cibervctimas en general, puede no ser

muy preciso desde el punto de vista pedaggico a efectos de lograr una definicin adecuada, por lo

que es necesario referirnos a un concreto tipo delictivo para su mayor comprensin, y que veremos

a continuacin en este mismo captulo. No obstante, el Ciberagresor puede responder al sujeto

activo autor (adolescente o adulto), que utiliza las tecnologas para acosar, ridiculizar, atacar, herir,

perjudicar, a la Cibervctima, sujeto pasivo (adolescente o adulto), actuando a la vez sobre varios

objetivos, contra un objetivo desde varios lugares en el ciberespacio como en los DDoS con bots32

, como que varios agresores ataquen simultneamente a un mismo objetivo como en los DDoS.

11.4. Clasificacin de los Delitos informticos segn el Cdigo Penal Es-paol y los distintos grupos de la polica:

CDIGO PENAL:

2.1. Derecho a la Intimidad: Arts. 197-201

2.2. Propiedad Intelectual: Arts. 270-272

2.3. Falsedades: Arts. 386-401

2.4. Sabotajes Informticos: Arts. 263-264

2.5. Fraudes Informticos: Arts. 248-251 y 251.bis

2.6. Amenazas: Arts. 169-171

2.7. Calumnias e injurias: Arts. 205-216

2.8. Pornografa infantil: 187 (189.bis)-190

32 DDoS con bots, vendra a ser un ataque a computadoras o redes, de manera que un determinado ser-vicio o recurso sea inaccesible a los usuarios (DDos). A partir de ese momento, unos programas invadirn las mquinas de los usuarios, controlados remotamente y ejecutando actividades no solicitadas (bots o zombis). Es decir, una combinacin de ambas herramientas supone un ataque por mltiples amenazas, impidiendo que los ordenadores de los usuarios puedan continuar funcionando normalmente.


432 www.antpji.com

BRIGADA DE LA POLICA NACIONAL:

2.09. Ataques contra el Derecho a la Intimidad: Arts. 197-201

2.10. Infracciones a la Propiedad Intelectual: proteccin de los derechos de autor

2.11. Falsedades

2.12. Sabotajes Informticos: Arts. 263 y ss.

2.13. Fraudes Informticos: Arts. 248 y ss

2.14. Amenazas: Arts. 169 y ss

2.15. Calumnias e Injurias: Arts. 205.

2.16. Pornografa Infantil

2.17. La induccin, promocin, favorecimiento o facilitacin de la prostitucin de una

persona menor de edad o incapaz: Arts. 187

2.18. La produccin, venta, distribucin, exhibicin, por cualquier medio, de material

pornogrfico en cuya elaboracin hayan sido utilizados menores de edad o incapaces,

aunque el material tuviere su origen en el extranjero o fuere desconocido: Arts. 189

2.19. La facilitacin de las conductas anteriores (El que facilitare la produccin, venta,

distribucin, exhibicin...): Arts. 189

2.20. La posesin de dicho material para la realizacin de dichas conductas: Arts. 189

GRUPO DE DELITOS TELEMTICOS DE LA GUARDIA CIVIL:

2.21. De los delitos relativos a la prostitucin y la corrupcin de menores: arts. 189.1, 2,

3,7 y 8.

2.22. Del descubrimiento y revelacin de secretos: arts. 197, 199 y 200.

2.23. De los delitos relativos al mercado y a los consumidores (descubrimiento de secreto

de empresa): arts. 278 y 279.

2.24. De los daos: arts. 264.2.

2.25. De las estafas: arts. 248 y 249.

2.26. De los delitos relativos a la propiedad intelectual: arts. 270

2.27. De los delitos relativos a la propiedad industrial: arts. 273 y 274.

2.28. De los delitos relativos a las falsedades documentales: arts. 390.1, 2 y 3, 392, 395

y 400.

2.29. De los delitos contra la comunidad internacional: (apologa del racismo y la xeno-

fobia). Arts. 607.

2.30. Fuera de la tipologa propuesta por el Convenio europea sobre Ciberdelincuencia

www.antpji.com 433


el GDT entiende por delitos informticos las conductas:

2.30.1. De los delitos relativos a la prostitucin y la corrupcin de menores: arts.187.1 y

189.4.

2.30. 2. De los abusos sexuales: Arts. 181.1 y 2.

2.30.3. De los delitos de exhibicionismo y provocacin sexual: Arts. 186.

2.30.4. De las amenazas: arts 169 y 171.

2.30.5. De la calumnia: arts. 205 y 206.

2.30.6. De la injuria: arts. 208 y 209.

2.30.7. De las defraudaciones de fluido elctrico: arts. 255 y 256.

11.5. Pharming: Mtodo de funcionamiento y ANTI-PHARMING

Esta figura hay que relacionarla con la que exponemos a continuacin, esto es, con el PHI-SHING (que podramos traducir como pescar) y que supone la suplantacin de sitios de Internet. Sin embargo, el PHARMING es una tcnica para llevar a cabo estafas online an ms peligrosa que el phishing, puesto que no necesita utilizar tcnicas de ingeniera social . Encuadrada esta fi-

gura dentro de los delitos de fraudes (arts. 248-250 bis del CP).

El pharming (algo as como cosecha en espaol), consiste en manipular las direcciones DNS

que utiliza el usuario, con el objetivo de engaarle y conseguir que las pginas que el usuario visi-

te no sean realmente las originales, aunque su aspecto sea idntico. Es decir, el atacante intenta

redirigir un nombre de dominio (domain name) a otra mquina u ordenador distinto, para engaar

al usuario y cometer fraudes de todo tipo, principalmente, para capturar datos personales de la per-

sona.

A modo de ejemplo, imaginemos que tecleamos en nuestro navegador la direccin habitual

de nuestro banco, cerramos la sesin, y el navegador, posteriormente como de costumbre, pen-

sando que todo se ha realizado y desgraciadamente, no es as, descubriendo a los pocos das

que nos han transferido parte de nuestro dinero desde esa cuenta bancaria. Esto es as, porque

recordemos se han apropiado de datos que permiten entrar y por tanto, realizar cualquier operacin

financiera.

Cmo podemos combatirlo?

Anti-Pharming es el trmino usado para referirse a las tcnicas utilizadas para combatir


434 www.antpji.com

el pharming. Algunos de los mtodos tradicionales para combatir el pharming son la utilizacin de

software especializado, la proteccin DNS y el uso de complementos addons (adicionales) para los

exploradores web, como por ejemplo toolbars (barras de herramientas).

El software especializado suele utilizarse en los servidores de grandes compaas para pro-

teger a sus usuarios y empleados de posibles ataques de pharming y phishing, mientras que el uso

de addons en los exploradores web permite a los usuarios domsticos protegerse de esta tcnica.

La proteccin DNS permite evitar que los propios servidores DNS sean hackeados para realizar

ataques pharming. Los filtros anti-spam normalmente no protegen a los usuarios contra esta tcni-

ca. No obstante, sin perjuicio de las recomendaciones tecnolgicas, ofrecemos una respuesta jur-

dica frente a los ataques procedentes del pharming y del phishing que desarrollamos a continuacin

del anlisis de la figura del phishing.

11.6. Phishing: daos causados.

Se trata de una tcnica que se basa en el envo masivo de correos con un contenido, que

tras el engao que eso supone, el lector revela sus claves de acceso. Por tanto, se trata de correos

electrnicos engaosos y pginas Web fraudulentas que aparentan proceder de instituciones de

confianza (bancos, entidades financieras, etc.), pero que en realidad estn diseados para con-

fundir y cautivar al destinatario, consiguiendo que divulgue informacin confidencial. Esta figura se

encuadra dentro de los delitos de fraude, valindose de la ingeniera social, por lo que el Ciberde-

lincuente, sabe a priori que tiene menos posibilidades de xito de pescar a una vctima.

Es una actividad tipificada por el art. 282.2 del Cdigo Penal y constitutiva de estafa. De igual

forma, en la medida en que las comunicaciones comerciales de la vctima estn siendo captadas

por parte de un tercero sin autorizacin expresa para ello, logrando as informacin considerada

como informacin confidencial y secreta; puede implicar un delito de descubrimiento y revelacin

de secretos del art. 197 del Cdigo Penal.

En el caso de producirse daos derivados de las actividades de los estafadores, podra in-

currirse en un delito de daos tipificado en el art.263 y ss del Cdigo Penal.

Cmo prevenir el phishing?

1. Evitar hacer click en los enlaces que vienen en los correos electrnicos, salvo

que estemos seguros de su origen.

www.antpji.com 435


2. Si comprobamos la direccin en el navegador y nos piden datos personales

referentes al acceso a cuentas bancarias, desconfiar plenamente. Las entida-

des bancarias, no van a solicitar por correo que hagamos cambios por correo

electrnico. Llamar a la entidad para corroborar la identidad del correo. La infor-

macin confidencial no se enva nunca por correo electrnico.

11.7. Spam.

En esta tcnica spamming no vamos a profundizar, porque es muy conocida ya desde los aos 80, y los propios antivirus incorporados en el ordenador, llevan normalmente un complemento

anti-spam que se adjunta en nuestra cuenta de correo tras la instalacin del antivirus, y que tras

ser configurado o por medio de la configuracin por defecto, automticamente cuando un correo

de este tipo es recibido, pasa a la carpeta de dicho nombre, eliminndolo de la vista de elementos

recibidos. Se traduce como correo basura o correo no solicitado ni deseado, cuyo remitente es des-

conocido o falso, habitualmente con intenciones publicitarias, en grandes cantidades.

El envo de mensajes comerciales sin el consentimiento previo est prohibido por la legisla-

cin espaola, tanto por la Ley 34/2002 de Servicios de la Sociedad de la Informacin (LSSI) como

por la Ley Orgnica 15/1999 de Proteccin de Datos (LOPD). La Agencia Espaola de Proteccin

de Datos (AEPD) es la entidad encargada de la tutela de los derechos y las garantas de los abo-

nados (persona fsica o jurdica que tiene un contrato con un operador) y usuarios (personas que

utilizan unos servicios sin haberlos contratado).

La LSSI, en el artculo 21.1 prohbe de forma expresa el envo de comunicaciones publicita-

rias o promocionales por correo electrnico u otro medio de comunicacin electrnica equivalente

que previamente no hubieran sido solicitadas o expresamente autorizadas por los destinatarios de

las mismas. Es decir, se desautorizan las comunicaciones dirigidas a la promocin directa o indi-

recta de los bienes y servicios de una empresa, organizacin o persona que realice una actividad

comercial, industrial, artesanal o profesional, si bien existe una excepcin en el caso de que exista

una relacin contractual previa y se refiera a productos similares.

Los usuarios estn amparados por la ley para evitar el spam

La vulneracin de la LSSI podra considerarse como una infraccin grave y puede multarse

con hasta 150.000 euros. Adems, la prctica del spam puede vulnerar el derecho a la intimidad,

que est protegida por la LOPD y la vulneracin de esta ley supondra una infraccin muy grave que


436 www.antpji.com

est castigada con hasta 600.000 euros de multa.

La principal dificultad con la que se choca la persecucin legal del spam es que, en la gran

mayora de los casos, este proviene de pases de fuera de Espaa, lo que dificulta su erradicacin

aunque no impide que se pueda denunciar en la AEPD.

11.8. Malware: daos causados. Relacin con SPAM y PHISHING: Ranso-mware.

Al igual que cualquier otro software, los programas maliciosos (tambin conocidos como malware33 ) estn diseados para comportarse de determinadas maneras y para cumplir con cier-

tas funciones especficas pero, cmo no, tambin tienen limitaciones y fallos de programacin. Los

efectos de estos programas dependen directamente de la intencin de su creador.

El ransomware es un tipo de malware, que se ha comprobado que se distribuye mediante spam, para apropiarse de documentos, discos o equipos, exigiendo al dueo o usuario, un pago

por el rescaste. En el 2012 se detect por parte de la BITPN (que ya hemos visto), un virus del tipo

ransomware, que bloqueaba el ordenador, mostrando una pgina de la Polica indicando que el

equipo estaba bloqueado por haber detectado una actividad ilegal en el mismo y permanecera as,

hasta que pagase una multa de 100 euros.

Ransomware es ciertamente el nuevo scareware34 , porque va ms all de los intentos para engaar a las vctimas, ya que pueden llegar a intimidar y abusar de los individuos atacados. Aun-

que este modelo de negocio ha sido probado con anterioridad, tiene las mismas limitaciones que

un secuestro en la vida real: nunca se ha logrado establecer un buen mecanismo para recaudar el

dinero solicitado. Pero los Ciberdelincuentes han descubierto ahora una solucin a este problema:

los mtodos de pago online. Con esta forma de pago, pueden usar la fuerza en vez de unos meros

engaos para robar a los usuarios que son objetivo de sus ataques.

33 La mejor defensa contra cualquier tipo de malware es detectarlo antes de que se instale en nuestro sistema, por lo que es muy importante que hagamos caso de las advertencias de los programas, ya que de bien poco nos van a servir si luego vemos que nos indica que un determinado archivo tiene un problema y, a pesar de todo, lo instalamos o ejecutamos.34 Software de seguridad falso. Normalmente este software toma ventaja de la intencin de los usuarios en mantener sus equipos protegidos, y especficamente utiliza tcnicas de ingeniera social que se basan prin-cipalmente en crear paranoia en los mismos, ofrecindoles una solucin definitiva a sus problemas de seguri-dad. Una vez instalada, este tipo de programas se dedica a robar informacin como lo hara cualquier troyano bancario o de usurpacin de identidad en el equipo de la vctima. En definitiva el Scareware es empelar o hacer uso del miedo, para infectar las computadoras.

www.antpji.com 437


Cmo puedo auto-protegerme de los programas ransomware?

1. Guarde su informacin en distintos dispositivos. Kaspersky Lab ha diseado

sus programas anti-malware para desencriptar informacin y desmantelar as

los planes de los cibercriminales. Pero los criminales estn haciendo sus pro-

gramas cada vez ms sofisticados y difciles de desarmar. La opcin ms segu-

ra ser siempre ser precavido y guardar su informacin en dispositivos seguros.

2. No pague NUNCA un rescate a los Ciberdelincuentes. Si no tiene su informa-

cin guardada a salvo, contacte con su empresa de antivirus para que ellos le

asesoren.

11.9. Contra la Propiedad Intelectual

La propiedad intelectual 35 (Propiedad Industrial36 y Derechos de autor), es un conjunto de derechos de carcter exclusivo que tiene una persona fsica o jurdica, en un principio el autor,

sobre una obra o producto de su inteligencia y creatividad, de cualquier tipo. Es ms, la Ley de Pro-

piedad Intelectual protege todo tipo de creaciones artsticas, literarias o cientficas expresadas en

cualquier tipo de soporte. Las infracciones a la propiedad intelectual estn reguladas en el artculo

270 del Cdigo Penal.

Las Infracciones a la Propiedad Intelectual a travs de la proteccin de los derechos de au-

tor, son los recogidos en el caso espaol, en relacin y especialmente referidos a la copia y distribu-

cin no autorizada de programas de ordenador y tenencia de medios para suprimir los dispositivos

utilizados para proteger dichos programas. (Artculos 270, 271, 272, 287 y 288 del CP).

11.9.1. Software informtico (plagio de programas y de base de datos).

Los programas informticos son una creacin intelectual y, por tanto, estn protegidos por

los derechos de autor. El uso ilcito de programas informticos, consistira en usar, reproducir, dis-

35 El Art. 149 de la Constitucin Espaola atribuye competencia al Estado en materia de Propiedad Inte-lectual, lo que significa que las Comunidades Autnomas no tienen competencia sobre la propiedad intelec-tual. En este sentido, el empresario que se posicione en Internet debe decidirse por el tipo de licencia por la que optar, copyright o bien copyleft.36 Se incluye todo lo relacionado a la fabricacin, importacin, posesin, uso, distribucin o venta de objetos, o de sus signos distintivos, protegidos por una patente, con fines industriales o comerciales sin el con-sentimiento del titular de dicha patente.


438 www.antpji.com

tribuir, comercializar o transformar el programa determinado, sin la autorizacin de su autor. En este

sentido, plagiar es copiar en lo sustancial obras ajenas, haciendo ver a los dems que son propias,

pudiendo ser total o parcial el intrusismo de esa propiedad intelectual. Asimismo, tambin supone

vulneracin de lo dispuesto en materia de proteccin de la propiedad intelectual, el plagio de bases

de datos, de manera total o parcial.

11.9.2. Derechos de autor.

Cuando se realicen copias, se distribuya, ceda y se realicen comunicaciones pblicas sobre

contenidos de software (msica, pelculas, juegos, etc) de determinados autores (programadores,

empresarios, etc), por medio de Internet, genera discrepancias en cuanto si existe responsabilidad

de los propietarios del servicio37 (servidores on-line), sobre las copias ilcitas introducidas y dis-

tribuidas por ese medio. En cualquier caso, esa transferencia o puesta a disposicin del pblico

(gratis o de pago), es ilegal por no contar con el consentimiento de su autor .38

La Ley de Propiedad Intelectual reconoce al autor:

1. El derecho irrenunciable e inalienable de exigir el reconocimiento de su con-

dicin de autor de la obra (Art.14.3).

2. El ejercicio exclusivo de los derechos de explotacin, como la reproduccin

de la obra, que no puede realizarse sin su autorizacin (Art.17).

3.Las acciones judiciales para reclamar la indemnizacin por los daos materia-

les y morales ocasionados por el acto infractor (Art.138)

Y el Art. 270.1 del CP, incluye el plagio como un delito contra la propiedad intelectual, cuando

se realice sin la autorizacin de los titulares de los correspondientes derechos de propiedad inte-

lectual o de sus cesionarios.

37 DANIEL TANS, Gustavo. La responsabilidad de los proveedores de servicios de Internet (isp). Revista de Derecho Vlex.38 Diario La Ley, Se acaba el tiempo de la diplomacia para los grandes proveedores de servicios de In-ternet. N 7432, Seccin Tribuna, 25 Jun. 2010

www.antpji.com 439


11.10. Ataques, Daos y Accesos no autorizados a Sistemas informti-cos:

Desde diciembre de 2010, ya son considerados delitos, los accesos no autorizados a los sis-

temas informticos. Lo que no deja de ser una novedad por el atraso que ello supone, contemplarlo

en nuestro cdigo con tanta tardanza.

Lo que realmente se castiga, es la mera entrada en el sistema, cuando se produzcan o no

daos o lesiones a los derechos del propietario del sistema. Las conductas punibles incluyen borrar,

daar, deteriorar, alterar, suprimir o hacer inaccesibles datos o programas informticos ajenos.

En este sentido, nos referimos a lo estipulado segn el 197.3, 248.2 y 264 del CP espaol.

Son de las pocas acciones ilcitas que tratamos en esta investigacin, que en nuestro cdigo se

refiere a ellas directamente, si bien haciendo uso levemente a travs de los trminos: programa

y sistema informtico. Ahora bien, las figuras bajo cuyas actuaciones se enmascara dichas con-

ductas, no aparecen en modo alguno contempladas en nuestro cdigo y son las que analizamos a

continuacin.

11.10.1. Virus y Virus DNSChanger.

En relacin al trmino Virus, es un trmino informtico general dentro de una gama de

programas que responden a muchos conceptos o mbitos: Troyanos, Bombas lgicas y Hoax. En

general, nos atrevemos a decir, que se trata de un programa que realiza acciones encaminadas a

infectar el ordenador, en el sentido de alterar, daar o modificar un programa, sin el consentimiento

de su propietario y con mltiples fines. Segn la enciclopedia Wikipedia, es un malware que tiene

por objeto alterar el normal funcionamiento de la computadora, sin el permiso o el conocimiento del

usuario.

El Virus DNSChanger, es un virus que modifica la configuracin DNS del equipo infectado.

Para comprobar si su ordenador est infectado por el virus DNSChanger puede hacerlo a travs de

la web www.dns-changer.eu o comprobando manualmente si los servidores DNS configurados en

su PC son maliciosos.

Existen diversas pginas webs donde se detecta y se recomiendan formas de eliminarlo,

pero para verificarlo manualmente es un proceso tcnico que puede resultar laborioso y que segn


440 www.antpji.com

indicaciones de muchos autores, incluso, puede dejar inservible su ordenador, por lo que reco-

mendamos no llevar a cabo estos procesos, dado que el citado Virus redirige al usuario a pginas

maliciosas controladas por un atacante sin su conocimiento ni consentimiento. Por tanto, simple-

mente la web citada le servir a modo de comprobar su existencia, pero no creemos que un usuario

normal deba proceder a desinstalarlo.

Como dicho virus tuvo su aparicin en abril de 2012, el FBI se encarg de controlar todos los

servidores DNS que fueron utilizados por el mismo. Dichos servidores fueron deshabilitados, por

lo que a partir de entonces, los equipos que continen o pudieran seguir utilizando los servidores

DNS, no tendrn acceso a Internet.

11.10.2. Gusanos.

Los efectos de estos Gusanos39 se corresponden con software malicioso que se introducen en un host de los sistemas informticos, siendo similares a los virus, pero presentan caractersticas

diferentes, como por ejemplo, no necesitar adjuntarse a un programa existente como en el caso

de los virus. Un gusano puede ejecutarse independientemente y propagarse rpidamente. No re-

quieren necesariamente activacin o intervencin humana. Los gusanos que se propagan por s

mismos por la red pueden tener un impacto mucho mayor que un simple virus y pueden infectar

rpidamente grandes partes de Internet.

El objetivo de este malware suele ser colapsar los ordenadores y las redes informticas,

impidiendo as el trabajo a los usuarios. A diferencia de los virus, los gusanos no infectan archivos,

crean un solo ejemplo de su cdigo que no se extiende a archivos en el mismo ordenador. El sof-

tware antivirus puede utilizarse como herramienta preventiva o reactiva al igual que frente a virus y

caballos de Troya.

11.10.3. Bombas lgicas o cronolgicas.

Estn diseados para provocar daos en el sistema informtico atacado, pero de forma

retardada. De manera, que es una parte de cdigo, insertada intencionalmente en un programa y

necesitndose para ello, conocimientos especializados ya que se requiere modificar un programa

para incluir instrucciones para la destruccin o modificacin de datos. A diferencia de los virus y

39 Morris fue el primer Gusano informtico de la historia, infectando en el ao 1988, a los servidores existentes.

www.antpji.com 441


gusanos, las bombas lgicas40 son difciles de detectar antes de que exploten. La bomba lgica puede utilizarse tambin como instrumento de extorsin y se puede pedir un rescate a cambio de

dar a conocer el lugar en donde se halla la bomba.

11.10.4. Defacement.

Consiste en la modificacin no autorizada del contenido de una pgina web (desfiguracin

por su traduccin desde el ingls). Al autor de esta actividad, se le conoce con el nombre de defa-cer. Las medidas para combatirlas, son principalmente la ayuda ciudadana contribuyendo a de-

nunciar las cuentas que los usuarios observen se utilizan para estos fines. A nivel tcnico y a modo

de medidas preventivas que variarn segn se trate de proteger una web o un blog, aunque bsica-

mente, a efectos tcnicos es lo mismo: cambiar claves o contraseas, realizar copias de seguridad

manual y automatizada, limitar por IP el acceso a la carpeta wp-admin e instalar los plugins de

seguridad recomendados del navegador.

11.10.5. Ataques DoS: Denegacin de servicios. Botnets.

Un ataque del tipo DoS, tiene como objetivo imposibilitar el acceso a los servicios y re-cursos, dirigido a los servidores de una compaa, para que no puedan consultarse ni utilizarse,

enviando un gran nmero de peticiones a un servidor, de manera que los usuarios legtimos del

servicio no puedan acceder a esos recursos. Cuando varios equipos activan una denegacin de

servicio, el proceso se conoce como sistema distribuido de denegacin de servicio (DDOS, Distri-

buted Denial of Service). Los ms conocidos son Tribal Flood Network (TFN) y Trinoo.

La denegacin de servicio es una complicacin que puede afectar a cualquier servidor de la compaa o individuo conectado a Internet, cuando se emplee una computadora personal o un

grupo de computadoras. Su objetivo no reside en recuperar ni alterar datos, sino en daar la repu-

tacin de las compaas con presencia en Internet y potencialmente impedir el desarrollo normal de

sus actividades en caso de que stas se basen en un sistema informtico. Una vez ms, debemos

estar actualizados en parches para nuestro sistema operativo41 , la ltima versin de las definicio-

40 MARTNEZ DE CARVAJAL HEDRICH, Ernesto Martnez. Informtica Forense. 44 Casos reales. 1 Ed. Julio 2012, pgs. 61-64.41 http://www.update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=es&&thankspage=5


442 www.antpji.com

nes del antivirus, atento a las ltimas vulnerabilidades y los consejos de los expertos . 42

Se trata del recurso habitual para todo tipo de hackers, aunque tambin puede servir a los

administradores de red, como test para comprobar hasta qu punto pueden llegar a responder los

sistemas informticos. No existe una solucin perfecta contra ataques DoS, ya que se basan en

peticiones legtimas que obviamente no podemos bloquear completamente en nuestros servidores,

aunque podemos configurar algunos elementos de nuestra red como Firewalls y sistemas43 de

deteccin de intrusos.

Sin embargo si podemos defendernos de sus efectos a pesar de lo que algunos autores ex-

presan. Y el modo de defensa debe cumplir los 5 requisitos bsicos :44

1. Una solucin distribuida para un problema distribuido.

2. La solucin no debe penalizar el trfico de usuarios legtimos.

3. Solucin robusta y universal (amenazas internas y externas).

4. El sistema debe ser viable en su aplicacin.

5. Debe ser una solucin incremental

11.10.6. Sabotajes. Terrorismo Informtico.

Se trata de delitos de daos que se realizan mediante la destruccin o la alteracin de datos,

documentos o programas que estn contenidos en redes o sistemas informticos, mediante actos

que copian, borran, suprimen o modifican sin autorizacin funciones o datos con el objetivo de obs-

taculizar o impedir que los sistemas funcionen con normalidad45. Regulado en los artculos 263 y

siguientes del Cdigo Penal.

Existen muchos supuestos46 , pero quizs uno que se produjo recientemente en el ao 2010

Despido procedente por sabotaje, de una empleada que previamente caus baja en la empresa

por incapacidad temporal por embarazo, copiando datos en una memoria USB, relativos a nminas

de la empresa 47 para la que trabajaba.

42 http://www.securityfocus.com/43 http://stuff.gpul.org/2003_jornadas/doc/deteccion_de_intrusos/node3.html44 http://studies.ac.upc.edu/FIB/CASO/seminaris/2q0304/M8.pdf45 Consejos para no sufrir fraudes informticos46 GONZLEZ RUS, Juan Jos. El cracking y otros supuestos de sabotaje informtico. Estudios jurdi-cos. Ministerio Fiscal. N 2, 2003, pgs. 209-248.47 ARROYO ZAPATERO, Luis; Tiedemann, Klaus. Estudios de Derecho Penal econmico. Ed. Colec-cin Estudios. 1994, pg. 205.

www.antpji.com 443


En relacin al Terrorismo informtico48 o Ciberterrorismo, emplean las TIC, por parte de estos grupos terroristas, para la consecucin de sus objetivos; utilizando Internet como instrumento

de comisin del delito o como accin del delito. Esta doble vertiente del concepto engloba tanto la

utilizacin de las TIC y ms concretamente Internet como elemento de apoyo a la infraestructura de

sus organizaciones (comunicaciones, apologa y propaganda, recluta, financiacin, etc...) y como

objetivo de la accin directa (ataques informticos contra objetivos tecnolgicos tales como opera-

dores de telecomunicaciones, infraestructuras crticas49 , etc.).

En la actualidad los Ciberataques sustituyen al terrorismo convencional, porque son ms efectivos y se favorecen que sus actuaciones sern annimas a travs de la red informtica. En

EE.UU, se ha creado el Comando Ciberntico del Pentgono50 , contando con 13 unidades espe-

ciales de programadores y expertos informticos para desarrollar contraofensivas en pases extran-

jeros en el caso de que las principales redes informticas de este pas se vieran atacadas.

Por tanto, la Ciberseguridad51 es una prioridad dado que imaginemos una agresin de pi-ratas informticos que puedan paralizar la bolsa financiera de un pas, dejar sin luz y colapsar las

redes de transportes del mismo o sustraer informacin de las Administraciones de los Estados. Es

por ello, que son muchos los estados que se han dotado de los sistemas de control como garantes

de la ciberseguridad52 : Echelon53 , Enfopol54 , Carnivore 55 , OSEMINTI56 , FISC57

48 SNCHEZ MEDERO, Gema. La ciberseguridad: un elemento para la seguridad de los estados. Ac-tas III jornadas de estudios de seguridad. IUGM-UNED, 2011, pg. 133749 En Espaa, Ley 8/2011, de 28 de abril, por la que se establecen medidas para la proteccin de las in-fraestructuras crticas.50 http://www.defense.gov/51 ROLLINS, John; HENNING, Anna C. Comprehensive National Cybersecurity Initiative: Legal Autho-rities and Policy Considerations. Congressional Research Service. March 10, 2009.52 SNCHEZ MEDERO, Gema. La ciberseguridad: un elemento para la seguridad de los estados. Actas III jornadas de estudios de seguridad. IUGM-UNED, 2011, pgs. 1337-134253 El Echelon es un sistema automatizado de intercepcin global de trasmisiones operado por los ser-vicios de inteligencia de cinco pases: Estados Unidos, Gran Bretaa, Canad, Australia y Nueva Zelanda. Su objetivo inicial era controlar las comunicaciones militares y diplomticas de la Unin Sovitica y sus aliados durante la Guerra Fra54 Enfopol es consecuencia directa del deseo de los gobiernos europeos de no quedarse atrs en esta carrera de escuchas cibernticas. Por esta razn, pusieron a funcionar su propio plan de interceptacin de tele-comunicaciones en Europa, Estados Unidos, Australia, pero tambin en otros pases.55 Es la tercera generacin de los sistemas de espionaje de redes del FBI56 El Ministerio de Defensa espaol, junto con Italia y Francia, han puesto en marcha el proyecto In-fraestructura Semntica Operacional (OSEMINTI). Se trata de que los Servicios de Inteligencia, por medio de ordenadores, no slo puedan identificar frases o palabras concretas en cintas de grabacin o en textos escritos, sino que sean capaces de entenderlas.57 El Congreso de EEUU cre el Foreign Intelligence Surveillance Court (FISC) como una corte top-se-cret para enterarse de las aplicaciones de vigilancia electrnica que realizaba el FBI y la NSA, y chequear las actividades domsticas de estas agencias, con el nico fin de velar por los derechos constitucionales del pueblo


444 www.antpji.com

11.10.7. Manipulacin de programas y datos.

Estas modificaciones, que originan diversos delitos informticos, son muy variadas y se

dividen en manipulaciones de programas y de datos. La Organizacin de Naciones Unidas (ONU)

reconoce una serie de tipos de delitos informticos en relacin con los supuestos contemplados,

que vamos a introducir, diferencindose segn las distintas categoras y sus variantes:

a) Encontramos dentro de los Fraudes cometidos mediante manipulacin de computadoras:

Manipulacin de los datos de entrada es conocido tambin como sustraccin de datos, y,

representa el delito informtico ms comn, ya que es fcil de cometer y difcil de descubrir. Sin em-

bargo, la manipulacin de programas, consiste en modificar los programas existentes en el sistema

o en insertar nuevos programas o rutinas. Es muy difcil de descubrir y a menudo pasa inadvertida

debido a que el delincuente tiene conocimientos tcnicos concretos de informtica y programacin.

Un ejemplo tpico, es el denominado Caballo de Troya, que consiste en insertar, de forma encubier-

ta, cdigo adicional en un programa informtico para que pueda realizar una funcin no autorizada

habitualmente y que no afecta al funcionamiento normal del mismo, dificultando su deteccin.

Otro tipo tpico, es el denominado salami o salchichn58, otra variante la bomba lgica que

hemos visto y siendo el ms conocido de los delitos, el virus informtico, que consiste en insertar

instrucciones en un programa, habitualmente con el fin de provocar daos en el sistema, y que

adems tiene la capacidad de propagarse e infectar otros programas y sistemas.

Debemos hablar tambin de la Manipulacin de los datos de salida, que se efecta fijando

un objetivo al funcionamiento del sistema informtico. El ejemplo ms comn es el fraude del que

se hace objeto a los cajeros automticos mediante la falsificacin de instrucciones para la compu-

tadora en la fase de adquisicin de datos. Y finalmente, Fraude efectuado por manipulacin infor-

mtica, que aprovecha las repeticiones automticas de los procesos de cmputo.

b) Dentro de los Daos o modificaciones de programas o datos computarizados:

Acceso no autorizado a servicios y sistemas informticos, siendo estos accesos por diver-

sos motivos, desde la simple curiosidad hasta el sabotaje o espionaje informtico. Tambin est americano.58 Programa que maneja importes econmicos, para ser desviadas y controladas por el Ciberdelincuente, pero siendo las cantidades apenas perceptibles, para lo que se utiliza la tcnica del redondeo, realizndose pe-ridicamente esta tcnica.

www.antpji.com 445


la reproduccin no autorizada de programas informticos de proteccin legal, que puede entraar

una prdida econmica sustancial para los propietarios legtimos. El problema ha alcanzado dimen-

siones transnacionales con el trfico de esas reproducciones no autorizadas a travs de las redes

de telecomunicaciones modernas. Al respecto, se considera, que la reproduccin no autorizada de

programas informticos no es un delito informtico debido a que el bien jurdico a tutelar es la pro-

piedad intelectual.

En relacin con lo visto en este apartado, podramos en general hablar de Fraudes, falsifi-

caciones, interceptaciones sin autorizacin, trfico de claves informticas, distribucin de virus o

programas delictivos, entre otras figuras delictivas que ya hemos visto en este captulo. Concreta-

mente, en nuestro CP tendramos que referirnos al artculo 248.2.a) Los que, con nimo de lucro

y valindose de alguna manipulacin informtica o artificio semejante, consigan una transferencia

no consentida de cualquier activo patrimonial en perjuicio de otro.

11.10.8. Inyeccin SQL.

La forma principal de inyeccin de cdigo SQL consiste en la insercin directa de cdigo en variables especificadas por el usuario que se concatenan con comandos SQL y se ejecutan.

Existe un ataque menos directo que inyecta cdigo daino en cadenas que estn destinadas a

almacenarse en una tabla o como metadatos. Cuando las cadenas almacenadas se concatenan

posteriormente en un comando SQL dinmico, se ejecuta el cdigo daino.

Considere un servicio web con acceso a la informacin de los productos contratados o ad-

quiridos por los clientes. Los resultados del informe correspondiente a un servicio de hacking sobre

dicho servicio indican que una vulnerabilidad basada en la tcnica de inyeccin SQL permite mani-

pular de forma arbitraria los datos de facturacin de cualquier cliente.

Qu ocurre si esta amenaza se materializa? El departamento de facturacin no dispondr

de datos reales para emitir las facturas a los clientes; ms grave an, no tendr capacidad para

discernir qu datos son reales y cules han sido manipulados. Las copias de seguridad no pueden

restaurarse con garantas, puesto que se desconoce desde cundo existen datos corruptos. Es

necesario, por tanto, recurrir a un proceso de conciliacin para recuperar el contenido original de la

base de datos. Esta actividad puede delegarse a una empresa especializada, pero tiene un coste

asociado que debe valorarse. En particular, la gestin de este incidente desencadena las siguientes

actividades:


446 www.antpji.com

1. Proceso de peritaje y anlisis forense para estimar el alcance del incidente.

2. Proceso de identificacin y correccin de la vulnerabilidad.

3. Proceso de conciliacin para recuperar los datos originales.

Existe una novedad a estos ataques que se conoce con el nombre de inyeccin XPath. La

inyeccin XPath es una de las mltiples tcnicas de intrusin que se ha dado a conocer en los lti-

mos meses. Est relacionada con el uso de la tecnologa XML como back-end de un servicio web,

y ofrece posibilidades similares a los ataques de inyeccin SQL.

Considere un servicio web que accede mediante XPath al fichero XML59 con el catlogo de

artculos que el visitante de la pgina puede adquirir online. Los resultados del informe correspon-

diente a un servicio de hacking sobre dicho servicio indican que una vulnerabilidad basada en la

tcnica de inyeccin XPath permite eliminar el contenido del fichero XML.

Qu ocurre si esta amenaza se materializa? Este incidente desencadenara la interrupcin

del servicio de venta online hasta que se restaurase el contenido del back-up y se corrigiese la vul-

nerabilidad en el cdigo fuente de la aplicacin. En particular, es necesario realizar las siguientes

tareas:

1. Identificar y restaurar el contenido del back-up.

2. Identificar la vulnerabilidad en el cdigo fuente.

3. Generar una nueva versin segura.

4. Trasladar a produccin la nueva versin.

Cmo protegerse contra estas amenazas?

a) Asignacin de mnimos privilegios .60

b) Validar todas las entradas .61

c) Empleo de procedimientos almacenados .62

d) Utilizar comillas dobles en lugar de simples .63

e) No se deben desarrollar instrucciones Transact-SQL64 a partir de datos indi-

cados por el usuario.

59 http://msdn.microsoft.com/es-es/library/18az815d(v=vs.90).aspx60 http://support.microsoft.com/kb/946686/es61 http://osl.ugr.es/descargas/OWAND11/OWAND11%20Granada%20-%20Ataques%20XSS%20en%20Aplicaciones%20Web.pdf62 http://www.adictosaltrabajo.com/tutoriales/tutoriales.php?pagina=Procedimientos_Almacenados_Hibernate63 http://tednologia.com/comillas-simples-y-dobles-en-php/64 http://msdn.microsoft.com/es-es/library/ms365303.aspx

www.antpji.com 447


f) Para ms indicaciones tcnicas, recomendamos tutoriales avanzados en la

pgina de Microsoft.

Consecuencias jurdicas:

La revelacin no autorizada de esta informacin que hemos analizado, constituye un delito

tipificado por la LOPD. Las multas derivadas del incumplimiento de esta ley varan en funcin del

nivel de clasificacin de la informacin. En el caso de los ficheros de nivel medio, la sancin oscila

entre 60.000 y 300.500 euros.

11.10.9 Ciberespionaje empresarial e industrial con relacin al Ciberterro-rismo.

Atendiendo a los objetivos de los ataques cibernticos, podemos relacionar dos tipos: Cibe-

respionaje65 y Ciberterrorismo. Tanto el uno como el otro estn catalogados dentro de los riesgos

crecientes para un Estado, pero tienen matices claramente diferenciados, si bien, responden a una

idea general comn, que es obtener informacin para algn fin por medio de la extorsin, chantaje

y el miedo. Mediante el Ciberespionaje no se busca slo atacar organismos gubernamentales sino

tambin compaas y organizaciones industriales, por lo que podemos catalogar dentro de los ac-

tos de Cibercrimen. Por su parte, el Ciberterrorismo se orienta fundamentalmente a Estados con

elevada influencia exterior y para causar terror, miedo, mediante el chantaje, la amenaza masiva de

muertes y otros actos, encaminados a fines polticos o religiosos.

Concretamente, respecto del Ciberespionaje empresarial e industrial, se refiere a compa-

as o gobiernos que tienen inters en disponer de informacin crtica de desarrollos tecnolgicos

e industriales de industrias de la competencia (CANDAU, 2011, 263). Por ejemplo, el ataque que

recientemente ha sufrido el G-20, en marzo de 2011. Segn reconoci el gobierno francs ms de

150 computadoras del Ministerio de Finanzas resultaron afectadas3. El objetivo era conseguir do-

cumentos relacionados con asuntos econmicos internacionales.

Tambin se puede entender por Ciberespionaje industrial66 , el uso malicioso de otras herra-

65 El ciberespionaje, en contra de lo que se podra llamar la industria de la informacin, se diferencia del tradicional ha ckeo contra objetivos econmicos, tales como Lockheed Martin, Coca-Cola y Apple, cuyos sistemas informticos contienen propiedad intelectual valiosa que podra ayudar a las capacidades industria-les o militares chinas.66 CESEDEN.El Ciberespacio: nuevo escenario de confrontacin. 2012. http://www.ieee.es/Galerias/fi-chero/OtrasPublicaciones/Nacional/CESEDEN_Monografia126_CiberespacioNuevoEscenarioConflictos.pdf


448 www.antpji.com

mientas corrientes de Internet, como redes sociales, blogs o simples portales web (o medios de

comunicacin on-line) para hacer apologa extremista o sembrar dudas de confianza o reputacin

de una economa, una nacin, una empresa, etc.

Existe un documento67 que versa sobre la exposicin sobre Unidades de espionaje (Ciberes-

pas) que convierten a la Repblica China, en una especie de Ciber-China, preocupada o interesa-

da por hackear en los ltimos aos, firmas de abogados, centros de investigacin, organizaciones

noticiosas, grupos de los derechos humanos, contratistas, oficinas del Congreso, embajadas y

agencias federales. En este sentido, Desde 2004, es la compaa Mandiant68 especializada en

seguridad en internet, quin ha investigado violaciones de seguridad informtica a cientos de orga-

nizaciones de todo el mundo69 y que recoge en el documento que mencionamos. La mayora de

estas brechas de seguridad se atribuyen a los actores contra amenazas conocidas como la persis-

tencia de Advanced Amenaza (APT).

Concretamente, hablamos del documento publicado en enero de 2010, en el que se emite un

informe, en el que se afirma que el gobierno chino podr autorizar estas actividades de Ciberespio-

naje70 , pero no hay manera de determinar el alcance de las mismas . 71Y es ms, estas actividades,

representan una pequea fraccin del espionaje ciberntico realizado por APT. Sistemticamente

67 http://intelreport.mandiant.com/Mandiant_APT1_Report.pdf68 http://www.mandiant.com/69 Las conclusiones de Mandiant, se basan exclusivamente en la informacin no clasificada, de cdigo abierto derivado de observaciones. Ninguna de la informacin en este informe incluye el acceso o confirma-cin por la inteligencia clasificada. De manera, que nuestra imaginacin puede dar rienda suelta a cuantos miles de actividades delictivas.70 Kapersky descubre la operacin de ciberespionaje Octubre Rojo dirigida a gobiernos y consulados de todo el Mundo. La cuestin, es que se ha detectado un malware que estaba diseado para extraer ficheros, e-mails contraseas de PCs, grabar pulsaciones del teclado, capturar pantallazos y robar el historial de navega-cin web en Chrome, Firefox, Internet Explorer y Opera. Tambin poda hacerse con los contactos, historiales de llamada, agendas, mensajes de texto e historiales de navegacin de smartphones como terminales iPhone, Windows, Nokia, Sony y HTC. Tambin recopilaba informacin sobre el software instalado, incluyendo bases de datos Oracle y herramientas de administracin remota y de mensajera instantnea. Lo realmente distintivo de esta campaa era que los atacantes programaron el sistema para robar ficheros que haban sido cifrados con un software clasificado llamado Acid Cryptofilter, que es utilizado por varios pases de la Unin Europea y la OTAN para cifrar informacin clasificada.71 En este sentido, el Ministerio de Defensa chino asegur en febrero de 2013, que las Fuerzas Armadas del pas asitico jams han apoyado ningn ciberataque, en respuesta al informe de una consultora estadou-nidense sobre el origen de agresiones informticas a EEUU en un edificio del Ejrcito chino en Shanghi. En una rueda de prensa, Geng Yansheng, portavoz del Ministerio, consider que las acusaciones de Mandiant son carentes de hechos y base legal, de forma similar a lo que ya declar el el portavoz chino de la cartera de Asuntos Exteriores, Hong Lei, tras salir a la luz el informe. El portavoz de Defensa argument que el informe de Mandiant carece de pruebas firmes porque lleg a la conclusin de que la potencia asitica es el origen de los ataques slo porque stos estn ligados a direcciones IP basadas en China.

www.antpji.com 449


han robado cientos de terabytes de datos de al menos 141 organizaciones, y tiene demostrado la

capacidad y la intencin de robar a decenas de organizaciones de forma simultnea, por medio de

miles de sistemas informatizados distribuidos por todo el mundo. Pensamos, que un gobierno sobre

Internet o de Internet, frenara, imposibilitara y castigara cualquier actividad simila

Libro Derechoinformatico Tema11

Documents

Transcript of Libro Derechoinformatico Tema11